Sistema Interno de Información


Tras varios años desde la aprobación de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, comúnmente denominada “Directiva Whistleblowing”, incluso de la apertura a España de un expediente por parte de la Comisión Europea por no transponer en plazo dicha Directiva, el próximo 13 de marzo de 2023 entrará en vigor la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, a la que también se aludirá como “Ley de protección del informante”, publicada el pasado 22 de febrero en el Boletín Oficial del Estado.

Están obligadas a su cumplimiento tanto las entidades del sector público como las entidades del sector privado determinadas en la Norma y en el caso de las entidades públicas, tendrán que hacerlo dentro del plazo máximo de 3 meses desde la entrada en vigor de la Ley, es decir, antes del día 13 de junio de 2023, con excepción de los municipios de menos de 10.000 habitantes y las empresas privadas de menos de 50 trabajadores, cuyo plazo de cumplimiento de la Ley queda prorrogado hasta el 1 de diciembre de 2023.

El principal objetivo de esta nueva Ley es proteger frente a “represalias”, a las personas que, en el ámbito de empresas privadas y administraciones públicas, informen de las acciones u omisiones incluidas en el ámbito de aplicación de la propia Norma y, en general, de cualquiera que pueda ser constitutiva de infracción penal o administrativa grave o muy grave, comprendiendo las que impliquen quebranto económico para la Hacienda Pública y la Seguridad Social.

Como no podía ser de otra manera, el manto de protección de la Ley se extiende a todo tipo de personas, referidas como “informantes”, que trabajen en el sector público o privado y entre las que, a modo de ejemplo, cabe destacar a los funcionarios públicos, personas trabajadoras por cuenta ajena, autónomos y, en general, a cualquier persona que trabaje bajo la supervisión y dirección de contratistas, subcontratistas y proveedores, así como compañeros de trabajo y familiares de los informantes.

¿Y qué entiende la Norma por “represalias”?. Cualesquiera acciones u omisiones prohibidas por la Ley, o que, directa o indirectamente, supongan un trato desfavorable a las personas que las sufren y que las sitúen, dentro de un contexto laboral o profesional, en desventaja particular con respecto a otras, solo por informar de una posible infracción o por realizar una revelación pública. La prohibición de represalias incluye también la tentativa o amenaza de represalia. Ejemplos de represalias son las reguladas en la propia Ley de las que se destacan algunas como la imposición de una medida disciplinaria, degradación o denegación de ascensos y cualquier otra modificación sustancial de las condiciones de trabajo, las coacciones, intimidaciones, el acoso, la evaluación o referencias negativas respecto al desempeño laboral y la discriminación o el trato desfavorable o injusto.

Entrando en el análisis de las obligaciones exigidas por esta nueva Ley ¿qué medidas deben adoptar las entidades públicas para cumplirla?. La principal, establecer un “Sistema interno de información” (en adelante, SII), como cauce preferente para la comunicación, investigación y tramitación de denuncias, que cumpla con todos los requisitos legales para garantizar la protección de los informantes.

No obstante, las entidades públicas que actualmente ya dispongan de un canal interno para comunicar acciones u omisiones que puedan constituir infracciones de acuerdo con otras normas que les resulten de aplicación, deberán cumplir con la Ley adaptando dicho canal a las nuevas exigencias.

Por otra parte, en municipios de menos de 10.000 habitantes y en el caso de las entidades públicas con personalidad jurídica propia vinculadas o dependientes de órganos de las Administraciones Territoriales que cuenten con menos de 50 personas trabajadoras, el SII podrá ser compartido con la Administración a la que estén adscritos, así como los recursos destinados a la recepción, investigación y tramitación de la denuncia. Aunque, para no generar confusión a la ciudadanía, se exige que los sistemas resulten independientes entre sí y los canales aparezcan diferenciados respecto del resto de organismos públicos.

Otra obligación impuesta a toda entidad que disponga de un SII es la designación de la figura del “Responsable del Sistema”, que deberá ser nombrado para desarrollar sus funciones de forma independiente y autónoma, disponiendo de todos los medios personales y materiales necesarios para llevarlas a cabo y sin recibir instrucciones de ningún tipo en el ejercicio de las mismas. Sin embargo, cuando ya exista en la entidad pública una persona responsable del cumplimiento normativo o de políticas de integridad o cualquiera que sea la denominación, esta misma persona podrá ser designada Responsable del Sistema siempre que cumpla los requisitos legales.

Más obligaciones relacionadas con el SII, es que su diseño y funcionamiento debe regirse por una serie de principios tales como la “confidencialidad” de la identidad del informante, de cualquier tercero mencionado en la comunicación y de todas las actuaciones desarrolladas para la investigación y tramitación de la denuncia, pudiendo la comunicación identificar al informante o ser anónima; “integración” de los distintos canales internos de información de los que ya disponga la entidad; “independencia” y “diferenciación” respecto de los sistemas internos de información de otros organismos; “protección de los informantes frente a represalias” respetando, en todo momento, la presunción de inocencia y el derecho al honor de las personas afectadas; y “tramitación de las comunicaciones” mediante un procedimiento de gestión de las informaciones recibidas.

En línea con lo anterior, además, la entidad pública está obligada a elaborar una política que enuncie los principios generales del SII y del procedimiento de gestión para la defensa de los informantes que deberá publicitarse debidamente en el seno de la entidad. Si se dispone de página web, la información sobre el SII deberá constar en la página de inicio, en una sección separada y fácilmente identificable.

¿Cuál es el contenido mínimo del procedimiento de gestión de las informaciones aprobado por la entidad pública?. Dicho procedimiento, de cuya tramitación responderá el Responsable del Sistema, incluirá:

  • La identificación del canal o canales internos de información a los que se asocian.
  • Una información clara y accesible sobre canales externos de información ante las autoridades competentes y, en su caso, ante las instituciones, órganos u 
  • organismos de la Unión Europea. 
  • El acuse de recibo a la persona informante dentro de los 7 días naturales siguientes a la recepción de la comunicación.
  • Los plazos máximos para dar respuesta a las actuaciones de investigación.
  • La posibilidad de mantener una vía de comunicación con el informante y de solicitarle información adicional.
  • Los derechos de la persona afectada tales como que se le informe de las infracciones que se le atribuyen, a ser oída en cualquier momento, a la presunción de inocencia y al honor.
  • La garantía de confidencialidad en los casos en que las comunicaciones se cursen a través de canales o personas distintas de las previstas en el SII.
  • La obligación de remitir la información al Ministerio Fiscal cuando los hechos pudieran ser indiciariamente constitutivos de delito y a la Fiscalía Europea cuando afecten a los intereses financieros de la Unión Europea.
  • Y el cumplimiento de la normativa sobre protección de datos personales.

Sobre esto último, es preciso matizar que los datos personales recogidos a través del SII deben ser tratados por la entidad pública responsable del tratamiento de dichos datos cumpliendo, en todo momento, no sólo con las obligaciones previstas en esta materia en la propia Norma que se está analizando, sino también con las obligaciones derivadas del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

¿Todas las personas de la entidad pueden acceder a los datos personales contenidos en el SII?. No, ya que el acceso quedará limitado, exclusivamente y dentro del ámbito de sus competencias y funciones, al Responsable del Sistema y a quién lo gestione directamente; al responsable de recursos humanos o al órgano competente para la tramitación del mismo; al responsable de los servicios jurídicos, si procediera la adopción de medidas legales en relación con los hechos relatados en la comunicación; a los encargados del tratamiento que eventualmente se designen; y al delegado de protección de datos. En particular, cuando deban adoptarse medidas correctoras o tramitar procedimientos sancionadores o penales, otras personas también podrán acceder a los datos e, incluso, según los casos, podrá resultar necesario comunicar dichos datos a terceros.

Otras cuestiones destacables del SII se refieren a la “forma de las comunicaciones”, ya que se debe permitir hacerlas por escrito o verbalmente, por vía telefónica o a través de mensajería de voz, incluso, a solicitud del informante, mediante una reunión presencial, en cuyo caso se le deberá advertir de la grabación de la comunicación y del tratamiento de sus datos personales en los términos de la normativa en esta materia; a la “posibilidad de externalizar la gestión del SII” aunque, en el ámbito público, sólo cabe esta externalización ante la insuficiencia acreditada de medios propios, según lo establecido en la normativa de contratos del sector público e incluyendo esta gestión, únicamente el procedimiento para la recepción de las informaciones sobre infracciones y, en todo caso, tendrá carácter exclusivamente instrumental; y, como no, a los diferentes “plazos regulados en la Ley”, tanto para los acuses de recibo y las respuestas durante el procedimiento de gestión de informaciones, como para la conservación de los datos personales registrados en el SII.

De hecho, en relación con los datos personales, la entidad pública está obligada a contar con un “libro-registro” de las informaciones recibidas y de las investigaciones internas a que hayan dado lugar, garantizando la confidencialidad así como los plazos de conservación y, en su caso, de eliminación de dichos datos personales, según lo previsto en la Norma y cumpliendo, en todo momento, con lo previsto en esta materia por la legislación en protección de datos.

Para terminar, se destaca el “canal externo de información” de la Autoridad Independiente de Protección del Informante (en adelante la A.A.I.), contemplado en la Norma para que cualquier informante pueda comunicar una denuncia, de forma personalizada o anónima, por escrito, mediante correo postal, a través de cualquier medio electrónico o verbalmente (reunión presencial, por vía telefónica o mediante sistema de mensajería de voz) mediante la grabación de la conversación o transcripción completa y exacta de la conversación. Se prevé un plazo de 6 meses desde la entrada en vigor de la Norma para llevar a cabo la adecuación del canal externo.

El funcionamiento de este canal se regula en la Norma de forma detallada, desde la recepción de informaciones y trámite de admisión, pasando por la instrucción y terminación de las actuaciones. Asimismo, se contemplan los derechos y garantías del informante o el traslado a la A.A.I. de la comunicación por otras autoridades que no tengan competencia para investigar hechos referidos a las infracciones tipificada en la Ley que ahora se analiza.

En todo caso, habrá que esperar un tiempo para la puesta en marcha de este canal externo ya que todavía se debe crear la A.A.I. que será un ente de derecho público de ámbito estatal, con personalidad jurídica propia y plena capacidad pública y privada, entre cuyas funciones se destacan no sólo la gestión del citado canal externo sino también la adopción de las medidas de protección al informante, la tramitación de los procedimientos sancionadores e imposición de sanciones, el fomento y cultura de la información e informar de cualquier novedad legislativa en el ámbito de sus competencias y funciones.