El pasado 21 de febrero de 2023 se publicó en el BOE la Ley 2/2023 reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, que transpone la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, conocida como Directiva Whistleblowing.
Su objetivo principal es garantizar una protección adecuada a los informantes frente a las represalias que pudieran sufrir, regulando el sistema interno de información en el sector público y privado.
1. Ámbito de aplicación
La norma otorga protección a las personas que, en un contexto laboral o profesional, comuniquen infracciones del Derecho de la Unión Europea, infracciones penales o infracciones administrativas graves o muy graves.
En concreto, protege a:
– Las personas que tengan condición de empleados públicos o trabajadores por cuenta ajena, autónomos, accionistas, partícipes y miembros del órgano de administración, dirección o supervisión de una empresa y cualquier persona que trabaje para o bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores.
– Informantes que comuniquen información obtenida en el marco de una relación laboral o estatutaria ya acabada, voluntarios, becarios, trabajadores en periodos de formación con independencia de que reciban o no una remuneración, así como a aquellos cuya relación laboral todavía no haya comenzado.
– Los representantes legales de las personas trabajadoras en el ejercicio de sus funciones de asesoramiento y apoyo al informante.
– Las personas físicas que dentro de la organización asistan al mismo en el proceso, las personas físicas relacionadas con el informante que puedan sufrir represalias, como son compañeros de trabajo o familiares del informante y las personas jurídicas para las que trabaje o con las que mantenga cualquier otro tipo de relación en un contexto laboral o en las que ostente una participación significativa.
2- Sistema interno de información
Deberán contar con un sistema interno de información y un sistema de gestión y protección de los informantes en el sector privado: las personas físicas o jurídicas con 50 trabajadores o más, las personas jurídicas que actúen en el sector financiero o con obligaciones en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente, independientemente del número de trabajadores que tengan y los partidos políticos, sindicatos, organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos.
Las fechas de aplicación previstas, según el tipo de entidad, son las siguientes:
– 3 meses a partir de la entrada en vigor de la ley para las Administraciones, organismos, empresas y demás entidades obligadas a contar con un sistema interno de información.
– 1 de diciembre de 2023 para las entidades jurídicas del sector privado con 249 trabajadores o menos y los municipios de menos de 10.000 habitantes.
El órgano de administración u el órgano de gobierno de la empresa es el responsable de la implantación del sistema, previa consulta con la representación legal de las personas trabajadoras.
La gestión del Sistema Interno de información podrá llevarse a cabo dentro de la empresa o acudiendo a un tercero externo siendo necesario que ofrezca garantías adecuadas de respeto de la independencia, confidencialidad, la protección de datos y el secreto de las comunicaciones.
Se regula el procedimiento que se ha de seguir cuando llega información al canal, siendo lo más relevante lo siguiente:
– En el plazo de 7 días desde la recepción de la información se deberá acusar recibo al informante
– La investigación de la información tendrá una duración máxima de 3 meses salvo cuando se trate de un tema de gran complejidad que podrá extenderse 3 meses más.
Se tendrá que llevar un registro de las informaciones recibidas y sus investigaciones que no será público salvo cuando lo solicite la Autoridad Judicial competente.
Las empresas deberán dar información adecuada, clara y fácilmente accesible sobre el uso de todo canal interno que hayan implantado, y de los principios esenciales del procedimiento de gestión. Y, en el caso de contar con una página web, esta información tendrá que constar en la página de inicio en una sección separada y fácilmente identificable.
Los informantes podrán optar también por acudir al canal externo o Autoridad Independiente de Protección al Informante, ya sea directamente o tras la comunicación por el canal interno. Y podrán hacer una revelación pública en plataformas web, redes sociales, medios de comunicación, etc. cuando ya lo hayan comunicado por los canales internos y externos y no hayan recibido solución y exista un riesgo para el interés público o un riesgo de represalias o de no tratamiento efectivo de la información.
Se regulan medidas de protección a los informantes que no se limitan a la prohibición de represalias sino que también incluyen medidas de tipo asistencial.
3- Régimen sancionador
El ejercicio de la potestad sancionadora corresponde a la Autoridad Independiente de Protección del Informante y a los órganos competentes de las comunidades autónomas.
Se prevén como sanciones multas para personas físicas de hasta 300.000€ y para las personas jurídicas de hasta 1.000.000€. Y también sanciones accesorias en el caso de infracciones muy graves como son la amonestación, la prohibición de obtener subvenciones u otros beneficios fiscales durante un plazo de hasta 4 años, así como la prohibición de contratar con el sector público durante un plazo de hasta 3 años.