La nueva Ley de protección al informante obliga a las empresas con 50 o más trabajadores a contar con un sistema interno de información (canal de denuncias) y prevé multas que pueden alcanzar hasta 1.000.000 euros. Lo analizamos desde diferentes puntos de vista: laboral, protección de datos, penal, gobierno corporativo y prevención del blanqueo de capitales y la financiación del terrorismo.
Las empresas con más de 250 trabajadores deben contar, antes del 13 de junio de 2023, con un sistema interno de información a través del cual se puedan comunicar infracciones normativas (canal de denuncias), así como un sistema de gestión y protección de los informantes para evitar represalias contra los mismos. Y aquellas que cuenten con entre 50 y 249 trabajadores tienen de plazo hasta el 1 de diciembre de 2023. Así lo establece la nueva Ley 2/2023, de 20 de febrero, reguladora de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, también conocida como Ley Whistleblowing, en su terminología anglosajona.
Las nuevas exigencias tienen implicaciones desde todos los ángulos del derecho de los negocios. En este artículo, abordamos las claves de la norma desde el punto de vista laboral, de protección de datos, penal, de gobierno corporativo y de prevención del blanqueo de capitales y la financiación del terrorismo.
Laboral
La Ley de protección al informante tiene unos objetivos, un contenido y un enfoque íntimamente vinculados con el ordenamiento jurídico-laboral.
Por ejemplo, la ley exige que la implantación del sistema interno de información se lleve a cabo previa consulta con la representación legal de los trabajadores.
Asimismo, la norma exige integrar en el sistema interno de información los distintos canales que pudieran establecerse dentro de la entidad, tales como los protocolos de prevención contra el acoso moral, sexual y por razón de sexo, la violencia sexual o la discriminación del colectivo LGTBI.
En este sentido, no hemos de olvidar que, en la mayor parte de los casos, los protagonistas de toda información y de la investigación interna que se inicia tras recibirla (por ejemplo, informante, afectado, testigos, etc.) son trabajadores cuyo vínculo con la compañía es una relación laboral.
Por ello, a la hora de implementar y gestionar un sistema interno de información y desarrollar una investigación interna, es crucial conocer las obligaciones y derechos de los trabajadores, así como los requisitos formales que han de respetarse desde una perspectiva jurídico-laboral.
Protección de datos
La principal modificación en materia de protección de datos introducida por la Ley de protección al informante es la calificación del órgano de administración como responsable del tratamiento del sistema interno de información y del canal de denuncias.
Esta calificación implica que el órgano de administración estará obligado a cumplir con todas las obligaciones previstas en la normativa de protección de datos personales (RGPD y LOPD-gdd) en relación con el sistema interno de información, pudiendo ser sancionado, con multas de hasta 20 millones de euros, por los incumplimientos en materia de privacidad derivados de su rol como responsable del tratamiento.
Asimismo, la norma presenta ciertas incongruencias en su propio articulado, por ejemplo, a la hora de definir el tratamiento de datos sensibles o al determinar el almacenamiento de datos personales derivados de comunicaciones que se reciban en el sistema interno de información como consecuencia de la integración de canales que no estén vinculados con conductas incluidas en el ámbito de aplicación de la Ley de protección al informante.
Se trata de aspectos muy relevantes que han de ser analizados y cubiertos desde la perspectiva de la protección de datos personales.
Penal
Tras la Ley de protección al informante es necesario garantizar que el procedimiento que regula el funcionamiento del sistema interno de información sea compatible con el derecho a la defensa de la organización ante un eventual procedimiento penal.
Además, la perspectiva de compliance penal a la hora de implementar el sistema interno de información es esencial, tanto en las empresas que contaban ya con canales éticos o de denuncia para la comunicación de irregularidades e incumplimientos, como en el caso de organizaciones que ya disponen de un modelo de compliance penal y una función de cumplimiento, toda vez que deberá asegurarse su coherencia con los elementos propios del sistema interno de información.
Gobierno corporativo
Especialmente en el caso de los grupos de empresas, la Ley de protección al informante prevé distintas posibilidades permitiendo, por ejemplo, que haya un único sistema interno de información (y, por ende, un responsable del sistema) para todo el grupo o bien que cada sociedad filial tenga su propio sistema (y, en consecuencia, su propio responsable).
Por ello, es preciso no sólo centrarse en las cuestiones programáticas y procedimentales que prevé la ley con carácter general para cualquier sociedad, sino también en diseñar el modelo más conveniente desde el punto de vista de la adecuada localización y aislamiento de sus riesgos y el cumplimiento de las exigencias de la nueva normativa en este ámbito.
La conveniencia de optar por una u otra posibilidad dependerá de diversos factores como la estructura societaria y de gobierno corporativo de cada grupo de sociedades y el nivel de descentralización que se quiera adoptar en cada caso.
Prevención del blanqueo de capitales y de la financiación del terrorismo
La Ley de protección al informante incluye, dentro de su ámbito de aplicación, a todos los sujetos obligados a prevenir el blanqueo de capitales y la financiación del terrorismo.
La implantación de un sistema interno de información que incluya la posibilidad de comunicar los incumplimientos de la normativa y procedimientos de prevención del blanqueo y la financiación del terrorismo diseñados por las entidades supone también, siempre que se cumplan las especificaciones previstas en la norma de referencia, el cumplimiento de la obligación de mantener el canal de denuncias incorporado en 2018 a la normativa de prevención.
