Esta ley, también conocida como de protección al informante o whistleblower, transpone al Derecho español (si bien tarde, algo por lo que España será llevada por la Comisión Europea ante el Tribunal Europeo de Justicia de la Unión Europea) la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019 (LA LEY 17913/2019).
Pues bien, a través de este artículo, desde el departamento de litigación de Fourlaw Abogados queremos ayudar a resolver las cuestiones básicas que toda empresa obligada o interesada en aplicar esta ley tiene que conocer.
I. ¿Cuál es el objeto principal de la Ley?
Otorgar una protección adecuada frente a las represalias que puedan sufrir las personas físicas que trabajen en el sector privado o público (también autónomos, accionistas, personas pertenecientes al órgano de administración, proveedores, subcontratados…) y que hayan obtenido información sobre sobre:
- a) Cualesquiera acciones u omisiones que puedan constituir infracciones del Derecho de la Unión Europea.
- b) Acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave.
II. ¿Existen excepciones?
Lo cierto es que también existen excepciones a esta regla general, como informaciones que afecten a la información clasificada o al secreto profesional de, por ejemplo, médicos o abogados o al deber de confidencialidad de las Fuerzas y Cuerpos de Seguridad del Estado.
III. ¿Y cuál es el cauce preferente para otorgar protección a todas estas personas?
Es el llamado sistema interno de protección, cuyo responsable de implantación será el órgano de administración u órgano de gobierno de cada entidad u organismo obligado por la Ley.
IV. ¿Quiénes son dichas entidades u organismos obligados por la Ley?
Pues, además de todas las entidades que integran el sector público:
- a) Las personas físicas o jurídicas del sector privado con 50 trabajadores o más.
- b) Las personas jurídicas del sector privado que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, así como prevención del blanqueo de capitales, seguridad en el transporte y protección del medio ambiente (incluidas aquellas que no tengan sede en España pero que desarrollen aquí sus actividades a través de sucursales y agentes).
- c) Los partidos políticos, sindicatos, organizaciones empresariales y sus fundaciones, siempre que reciban o gestionen fondos públicos.
V. Es decir, ¿si tengo una empresa con más de 49 trabajadores estoy obligado por ley a establecer un sistema interno de protección? Y en caso afirmativo, ¿cuándo tendré que establecerlo?
La respuesta es sí, y se tendrá que establecer además antes del 13 de junio para las grandes empresas y del 1 de diciembre de 2023 para las que tengan hasta 249 trabajadores.
VI. ¿Y qué características tiene que cumplir el sistema interno de información?
Básicamente, consistirá en un canal interno de información (lo que se ha venido llamando habitualmente en ámbitos de compliance o de prevención de blanqueo de capitales como canal de denuncias interno) que deberá de permitir realizar comunicaciones por escrito, vía correo postal o medio electrónico habilitado al efecto; o verbalmente, vía telefónica o a través de sistema de mensajería de voz, de una manera en la que se garantice la confidencialidad del informante o cualquier tercero mencionado en la comunicación, así como la protección de datos, impidiendo el acceso al personal no autorizado.
Adicionalmente (i) tendrá que integrar los distintos canales internos de información que pudieran establecerse dentro de la entidad (ii) garantizar que las comunicaciones presentadas sean conocidas en primer lugar por la propia entidad y nadie más (iii) ser independientes con respecto a los sistemas internos de información de otras entidades u organismos (iv) contar con una política o estrategia que enuncie los sistemas y principios generales en esta materia publicada debidamente (v) contar con un procedimiento de gestión de las informaciones recibidas y (vi) contar asimismo con un libro registro de las informaciones recibidas e investigaciones internas realizadas.
VII. ¿Quién tendrá que velar por el correcto funcionamiento del sistema interno de información?
Pues, además de poder contratar a un tercero externo para la gestión del sistema interno de información, el órgano de administración o gobierno de cada entidad obligada que no elija esta primera opción tendrá que designar una persona física denominado «Responsable del Sistema». También puede ser un órgano colegiado, que deberá de delegar en uno de sus miembros (que habrá de ser directivo de la entidad que ejerza su cargo independientemente del órgano de administración) las facultades de gestión del sistema interno de protección y de tramitación de expedientes de investigación.
Asimismo, las entidades obligadas tendrán que establecer medidas de protección a los informantes o terceros relacionados que garanticen la prohibición de represalias contra éstos, también en grado de tentativa o amenaza.
VIII. ¿Qué se entiende por represalia?
Según la Ley, cualquier acto u omisión que estén prohibidos por la ley o que de forma directa o indirecta supongan un trato desfavorable que sitúe a estas personas en desventaja particular con respecto a otra en el contexto laboral o profesional. Se consideran, entre otras represalias (i) aquellas relacionadas con la suspensión del contrato de trabajo, despido o extinción de la relación laboral (ii) daño, incluidos los de carácter reputacional, o pérdidas económicas, coacciones, acoso, intimidaciones u ostracismo (iv) evaluaciones negativas del desempeño profesional (v) inclusión en listas negras (vi) denegación o anulación de una licencia o permiso (vii) denegación de formación o (viii) trato discriminatorio, desfavorable o injusto.
IX. ¿Hay que establecer algún tipo de protección para el denunciado?
Así es, las entidades obligadas, durante la tramitación del expediente, tendrán que garantizar la presunción de inocencia de la persona afectada por la comunicación, así como su derecho de defensa y de acceso al expediente, preservando su identidad y garantizando la confidencialidad sobre los hechos y datos relacionados con el caso concreto.
X. ¿A qué sanciones se enfrentan las entidades obligadas que no cumplan con lo establecido en la Ley?
El incumplimiento de cualquiera de las obligaciones analizadas y previstas en la Ley podrá tener la consideración de infracción leve, grave o muy grave, con multas que van desde los mil hasta el millón de euros, dependiendo del tipo de infracción y del infractor.
XI. Conclusión
Si bien entendemos que el espíritu de la norma es el correcto, y que además nos equipara y armoniza nuestra legislación al resto de legislaciones europeas en esta materia, normalmente más avanzadas en estos ámbitos, también entendemos que existen varios factores negativos en la potencial aplicación de esta norma.
En primer lugar, implantar un nuevo canal de denuncias con todas las garantías y procedimientos establecidos en la Ley a los ya existentes (como por ejemplo compliance, procedimientos que eviten el acoso laboral o sistemas de prevención de blanqueo de capitales) puede conllevar para las pymes una nueva carga burocrática y, sobre todo, económica, que viene a sumarse a muchas otras.
Esto lo decimos porque tendrán que destinar personal específico para esta materia, o, lo más normal, ya que en estas empresas normalmente no hay personal cualificado para investigar este tipo de denuncias, tendrán subcontratar a otra compañía especializada para que se encargue de procesar la información y tomar las medidas pertinentes, con el coste que ello conlleva.
Lo anterior no pasa en las grandes empresas que ya cuentan con este tipo de sistemas implementados desde hace tiempo, así como personal experto que lo gestione, por lo que simplemente tendrán que adaptarlo a la nueva legislación.
La ley presenta numerosas lagunas y adolece de la necesaria concreción en temas tan básicos como la enorme generalidad del objeto de la misma
Por otro lado, entendemos que la ley presenta numerosas lagunas y adolece de la necesaria concreción en temas tan básicos como la enorme generalidad del objeto de la misma, pues no todos (casi ninguno más bien) los trabajadores/informadores ni empresas obligadas conocen ni tienen por qué conocer los diferentes tipos delictivos incluidos en nuestro Código Penal, o los diferentes tipos de infracciones administrativas, y ni mucho menos las infracciones del Derecho de la Unión. Y, aunque las conozcan, tienen una muy limitada posibilidad de actuación, pues carecen de instrumentos y capacidad para poder llevar a cabo diligencias de investigación.
Asimismo, también existen lagunas en la potencial aplicación de la misma, como serían por ejemplo (i) el cómo cumplir debidamente con las restricciones de datos personales tan exhaustivas, que crean problemas operativos al restringir el acceso de datos a departamentos involucrados normalmente en la gestión de denuncias o (ii) cómo aplicar el régimen sancionador y de responsabilidad especialmente a los miembros de un consejo de administración o responsables del canal interno y (iii) como cumplir debidamente con el estricto régimen de plazos previsto.
Por ello, a lo largo de este año y los que vienen veremos qué recorrido tiene y como desarrolla esta ley, como decimos llena de buenas intenciones, pero también de lagunas que habrán de ir siendo completadas con la aplicación de ésta, principalmente, por parte de unas Pymes que vienen viendo en los últimos años como tienen que cumplir con una legislación cada vez más exigente en este tipo de materias.