Skip links
Obligaciones de la Ley de protección al denunciante o whistleblowing

Obligaciones de la Ley de protección al denunciante o whistleblowing

El canal de denuncias internas que es obligación de la Ley de whistleblowing tiene implicaciones en materia de protección de datos...

Hoy 13 de marzo de 2023, entra en vigor la Ley de protección al denunciante o de whistleblowing, que puedes encontrar en el BOE como Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

Esta norma tiene como objetivo establecer un marco de protección para aquellas personas que denuncien alguna infracción que se produzca en su entorno laboral, o en el seno de la organización en la que trabajan.

Evidentemente su mayor impacto está en el ámbito laboral pero ya que se tratarán datos tanto de denunciantes como de denunciados, es crítico conocer sus implicaciones a nivel privacidad y protección de datos tema que abordaremos en una próxima entrega.

La Ley Whistleblowing

Aunque se trata de una novedad desde la perspectiva de la Ley nacional, lo cierto es que dentro del Derecho de la Unión ya tiene varios años pues no deja de ser una trasposición al Derecho Español de la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión; puede usarse como apoyo para su cumplimiento la Norma UNE-ISO 37002 Whistleblowing Management Systems.

Entrada en vigor

Para que no te pille el toro, aquí tienes todas las fechas a tener en cuenta:

  • Fecha de publicación en el BOE: 20 de febrero de 2023
  • Fecha de entrada en vigor: 13 de marzo de 2023
  • Periodo de adaptación e implementación: hasta el 13 de junio de 2023
  • Para empresas con menos de 250 empleados: 1 de diciembre de 2023

¿A qué y a quién obliga la nueva norma?

Deben (están obligados) disponer de este sistema:

  • Personas físicas o jurídicas con más de 50 trabajadores
  • Partidos políticos, sindicatos, organizaciones empresariales y fundaciones que manejen fondos públicos
  • Empresas en el ámbito de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente
  • Todas las entidades que integran el sector público, aunque con excepciones para municipios, administraciones o entidades pequeñas.

Es posible tener el canal de forma voluntaria, pero en todo caso debe cumplir con las exigencias de la Ley.

¿Y qué sujetos quedan protegidos por la Ley de whistleblowing?

  • Empleados públicos
  • Trabajadores por cuenta ajena
  • Autónomos
  • Cualquier trabajador supervisado por contratistas, subcontratistas o proveedores
  • Accionistas, partícipes y miembros del órgano de dirección, supervisión o administración
  • Voluntarios, becarios o personas que aún no hayan empezado la relación laboral pero mantengan un nexo con la organización.
  • Representantes legales de los trabajadores

¿Cómo debe estructurarse el sistema de denuncias?

En estos días los software sobre denuncias internas aparecen como champiñones por todas partes, todos tienen uno o todos ofrecen uno. Y que quede claro, la norma no exige que se use un software, exige un sistema interno. Por tanto, puede ser un procedimiento, pero que debe cumplir con todo lo que pide la norma, eso sí.

El sistema interno de denuncias debe permitir que el denunciante pueda presentar la información que estime oportuna tanto verbalmente como por escrito. En todo momento, debe asegurarse la seguridad y confidencialidad del denunciante y de todas las actuaciones llevadas a cabo.

Al frente del mismo, ha de designarse a un Responsable del Sistema interno, que desarrollará sus funciones de forma independiente o autónoma, sin recibir instrucciones y disponiendo de los medios necesarios para ello.

¿La persona que denuncia puede sufrir alguna consecuencia por ello?

No. Además de proteger su confidencialidad, la ley también prohíbe que se tomen represalias contra aquellos trabajadores que presenten denuncias, considerando como tales:

  • Suspensión del contrato, despido o extinción de la relación laboral
  • Daños reputacionales o económicos
  • Coacciones, intimidaciones, acoso u ostracismo
  • Evaluaciones laborales o referencias negativas
  • Inclusión en listas negras
  • Denegación o anulación de licencias o permisos
  • Denegación de formación
  • Discriminación o trato desfavorable o injusto

Además, el denunciante tiene derecho a recibir apoyo, información, asesoramiento y asistencia (psicológica, financiera o jurídica) durante todo el proceso.

¿Quién puede ver qué información hay en el sistema de denuncias?

Siguiendo esa línea de protección de la confidencialidad del denunciante y de los datos asociados a la denuncia, la ley establece una lista limitada de sujetos que pueden acceder al sistema:

  • El responsable del mismo
  • El responsable de RRHH, en algunos casos
  • El responsable de servicios jurídicos de la entidad
  • Los encargados de tratamiento que pudieran designarse
  • El delegado de protección de datos

El delegado de protección de datos

Si bien la obligación e nombramiento del delegado de protección de datos que aparecía en el borrador de Ley para que quienes debieran cumplir esta normativa tuvieran también deben nombrar un DPO se eliminó de la Ley, sigue en sus considerandos. Además de lo anterior, el DPO una de las figuras con capacidad de acceso a los datos personales recogidos en el canal de denuncias.

Esta figura -también llamada DPO o DPD– fue creada por el RGPD, y es aquella persona o empresa que se asegura de que en una organización se cumple con la normativa de protección de datos. Desarrolla su tarea de forma confidencial e independiente y tiene funciones de:

  • Información y asesoramiento
  • Supervisión de cumplimiento normativo
  • Asignación de responsabilidades
  • Formación del personal
  • Realización de auditorías
  • Cooperación con la autoridad de control

Hasta ahora, solo era obligatorio disponer de DPO en algunos casos específicos, pero si tienes más de 50 trabajadores -o cualquiera de los otros supuestos mencionados- debes designarlo.

El de delegado de protección de datos es uno de los servicios que prestamos en Dataseg, así que puedes contactarnos o solicitar un presupuesto si te interesa obtener más información

Régimen sancionador de la Ley whistleblowing

Cerramos artículo haciendo un resumen de las sanciones que prevé esta nueva ley, pues si bien su fin es proteger los derechos y libertades de los denunciantes, también regula una serie de consecuencias para aquellas entidades que incumplan. Así pues tenemos infracciones:

  • Muy graves: Acciones como no disponer del sistema descrito, no proteger la confidencialidad de los denunciantes o adoptar represalias pueden suponer multas de hasta 1.000.000 de euros.
  • Graves: Cuando la infracción cometida no tenga el carácter de muy grave, la sanción aparejada puede llegar a los 600.000 euros.
  • Leves: Otras conductas, como la falta de colaboración en caso de investigación, pueden acarrear una multa de hasta 100.000 euros.

Además, se prevén otras sanciones no económicas, como amonestaciones, prohibiciones de contratación o de obtención de subvenciones.

A tener en cuenta y cierre

La Ley Whistleblowing ha venido para quedarse y tiene muy buenas intenciones… esperemos que las consigamos y cada día tengamos un entorno más cumplidor y ético.

Hoy en este artículo os hemos presentado la norma y sus claves, el miércoles vía radio y por aquí os hablaremos de los puntos a tener en cuenta desde la protección de datos en la implantación del canal de denuncias. Si e surge alguna pregunta, no dudes en contactar con nosotros sobre la aplicación de la normativa de protección de datos al canal de denuncias.