Ley de Protección al Informante – Todo lo que necesita saber sobre la Ley en España
El 16 de febrero de 2023, el Congreso español aprueba la Ley de Protección de Informantes, por la que se transpone la Directiva Whistleblowing. El 13 de marzo, la normativa entra en vigor. Las empresas con a partir de 250 empleados tienen 3 meses para implementar un canal de denuncias. El 1 de diciembre de 2023, es la fecha límite para las empresas con a partir de 50 empleados.
Con el objetivo de evitar represalias para los informantes, daños de reputación o pérdidas económicas, las empresas deben implementar un canal de denuncias seguro, legal y fácil de usar que garantice la confidencialidad. Fortalezca la confianza en su empresa y evite sanciones económicas de hasta 1 millón de euros con EQS Integrity Line.
Toda la información sobre la Ley de Protección al Informante se encuentra en nuestro White Paper.
La nueva Ley de un vistazo
Los informantes son fundamentales para preservar una sociedad abierta y transparente. La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción tiene como finalidad principal amparar a toda persona que informe sobre una irregularidad para evitar consecuencias negativas, como el despido, el traslado, la degradación o la intimidación.
Los puntos principales de la Ley son:
1. Objetivos y Alcance de la Ley de Protección al Informante:
– Objetivos: Protección de personas que informan sobre infracciones normativas en su entorno laboral contra represalias. Basada en la Directiva de la UE 2019/1937.
– Alcance: Cubre tanto el sector público como el privado, incluyendo empleados, becarios, aprendices y cualquier persona que revele información sobre infracciones normativas.
2. Instituciones y Responsabilidades:
– Autoridad Independiente de Protección al Informante (AIPI): Encargada de la protección de informantes a nivel nacional. En la Comunidad Valenciana, la Agencia Valenciana Antifraude es responsable.
– Persona Responsable: Cada organización debe designar a una persona responsable del sistema interno de información, garantizando independencia y confidencialidad.
3. Proceso y Canales de Denuncia:
– Canales Internos y Externos: Los informantes pueden elegir entre canales internos de su organización y canales externos. Las denuncias pueden hacerse de forma anónima o con nombre.
- – Procedimiento: Todas las denuncias se tratan de forma confidencial con procedimientos claros para su seguimiento y gestión.
4. Medidas de Protección y Apoyo:
– Protección contra Represalias: La legislación prohíbe cualquier tipo de represalia, incluyendo despidos, degradaciones y otras acciones discriminatorias.
– Medidas de Apoyo: Incluyen asesoramiento legal, apoyo psicológico y ayuda financiera si es necesario.
5. Obligaciones de las Organizaciones:
– Sistemas Internos de Información: Las organizaciones deben establecer canales internos seguros para denuncias y designar un responsable. La fecha límite para su implementación es el 13 de junio de 2023 para el sector público y grandes empresas, y el 1 de diciembre de 2023 para empresas más pequeñas.
– Capacitación y Comunicación: Se debe informar y capacitar a los empleados sobre la existencia y el uso de los canales.
Requisitos de obligado cumplimiento
Empresas que deben implementar un sistema de información
En el sector privado
- Personas físicas o jurídicas del sector privado a partir de 50 empleados
- Todas las empresas, independientemente de su número de empleados, en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención de blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y del medio ambiente
- Partidos políticos, sindicatos, patronales y fundaciones
En el sector público
- La Administración General del Estado, las administraciones regionales y provinciales
- Los Organismos y Entidades públicas vinculadas o dependientes de alguna Administración pública
- Las Corporaciones de Derecho Público
- Universidades públicas
- Las fundaciones del sector público
Confidencialidad del alertador
- Implementación de sistemas de información internos que garanticen la confidencialidad del informante
- Seguimiento continuo del estado de la información por parte del informante
- Acuse de recibo por parte de la empresa u organización en un plazo de 7 días a partir de la recepción de la información
- Feedback sobre la resolución de la información en los siguientes 3 meses tras haber interpuesto la información
Prohibición total de represalias
- La protección no solo de los empleados de la empresa, sino de familiares, amigos, socios comerciales y terceros entre otros
- Medidas para proteger a los informantes contra todo tipo de represalia, como el despido, el cambio de trabajo, discriminación, coacción o acoso
- Medidas de apoyo para el informante, asesoramiento sobre procedimientos y recursos disponibles, así como asistencia jurídica
Sanciones económicas
Si no se llevan a cabo las medidas impuestas por ley para amparar la figura de los whistleblowers, las empresas recibirán sanciones que van desde muy graves, graves y leves:
Hasta 1 millón de euros
Sanciones muy graves
- Impedir o dificultar la presentación de informaciones y su seguimiento por parte del alertador
- No cumplir con el derecho de confidencialidad y anonimato del informante
- Practicar cualquier represalia
Hasta 600,000€
Sanciones graves
- Impedir o dificultar la presentación de informaciones y su seguimiento por parte del alertador que no tenga consideración de infracción muy grave
- No cumplir con el derecho de confidencialidad y anonimato del informante que no tenga consideración de infracción muy grave
- Incumplimiento de la obligación de adoptar las medidas para garantizar la confidencialidad y secreto de los informantes
No se pierda ningún detalle de la ley
El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el responsable de la implantación del sistema interno de información, previa consulta con la representación legal de las personas trabajadoras y tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales.
Los sujetos comprendidos dentro del ámbito de aplicación de esta ley proporcionarán la información adecuada de forma clara y fácilmente accesible, sobre el uso de todo canal interno de información que hayan implantado, así como sobre los principios esenciales del procedimiento de gestión. En caso de contar con una página web, dicha información deberá constar en la página de inicio, en una sección separada y fácilmente identificable.
La ley recomienda elegir en primer lugar un sistema de información interno antes que acudir a una fuente externa. En caso de ausencia de respuesta o aclaración por parte de los gestores internos de las denuncias, el informante siempre podrá acudir a las autoridades competentes para informar sobre las infracciones.
Estos pueden ser sistemas digitales, buzones o líneas de información telefónica. Los sistemas elegidos deben preservar en todo momento la confidencialidad del informante, así como del informe. Además, se debe hacer un seguimiento continuo de la información para una mayor investigación.
Es obligatorio contar con un libro – registro de las comunicaciones recibidas y de las investigaciones internas para garantizar en todo momento los requisitos de confidencialidad. El registro no será público.
Cualquier acto de represalia, como amenazas, discriminación o acoso quedan totalmente prohibidos y su incumplimiento conlleva a sanciones económicas.
Webinar: La hora del Whistleblowing ha llegado | Todo lo que cambia a partir del 13 de junio para las empresas
Ley de Protección de Informantes en Francia y Portugal
Portugal
El país luso ya ha implementado la Ley sobre Protección de Informantes 93/2021 de 20 de diciembre de 2021, con entrada en vigor el 18 de junio de 2022. Al igual que las medidas del Proyecto de Ley en España, la nueva Ley portuguesa también tiene como principal requisito la protección del informante, así como la puesta en marcha de un canal interno de denuncias. Esta transposición se enmarca en un paquete legislativo más amplio, también publicado recientemente, referido al establecimiento del régimen general de prevención de la corrupción (regime geral de prevenção da corrupção) (RGPC) de la que surgen otras nuevas e importantes obligaciones para las empresas.
Principales requisitos de la Ley de Protección de Informantes en Portugal
- Protección total para los informantes contra represalias
- Establecimiento de un sistema interno de información diseñado y gestionado de forma segura, que garantice en todo momento la protección del informante
- Requisitos de confidencialidad y protección de datos
- Acuse de recibo tras reportar la infracción en un plazo de siete días
- Asignación de un responsable que gestione las infracciones
- Seguimiento y comunicación regular con el informante
- Seguimiento y resolución de la infracción en un plazo no superior a tres meses tras el acuse de recibo
- Proveer información relevante sobre el procedimiento a las autoridades externas competentes cuando sea necesario
Entidades obligadas a implementar un canal de información
Todas aquellas organizaciones que entran en el ámbito de aplicación de los actos de la Unión Europea en materia de la prevención del blanqueo de capitales y la financiación del terrorismo, (por ejemplo, entidades de crédito, empresas inversoras, entidades de pago, entidades de dinero electrónico, organismos de inversión colectiva, fondos de capital riesgo o compañías de seguros).
Requisitos que deben incluir los sistemas internos de información
- Garantizar que la información reportada sea exhaustiva y completa
- Garantizar la confidencialidad de la identidad o el anonimato de los informantes
- Impedir el acceso a la información a personas no autorizadas
- Las denuncias pueden hacerse por escrito o verbalmente (una u otra o ambas), siendo el caso que, cuando se establezca la admisibilidad de una denuncia verbal ésta podrá tramitarse por teléfono o través de otros sistemas de mensajería de voz y, a petición del informante, en una reunión presencial
- Asignación de un responsable designado a tal efecto, encargado de recibir la denuncia y hacer un seguimiento de la misma
Tipo de infracciones pueden ser reportadas mediante los canales de información
Cualquier acción u omisión contraria a la normativa de la Unión Europea, referida a los ámbitos de contratación pública, servicios, productos y mercados financieros y de prevención de blanqueo de capitales y la financiación del terrorismo, seguridad y conformidad de los productos, seguridad del transporte, protección del medio ambiente, salud pública, protección contra las radiaciones y seguridad nuclear La seguridad de los alimentos para el consumo humano y animal, la salud y bienestar de los animales, la defensa del consumidor, la protección de la intimidad y de los datos personales y seguridad de las redes, la protección de los sistemas de información.
Además, todos los actos u omisiones contrarios y que perjudiquen los intereses de la Unión Europea; los actos u omisiones contrarios a las normas del mercado interior, incluidas normas sobre competencia y ayudas estatales, así como las normas sobre el impuesto de sociedades de las empresas. Acciones criminales violentas, especialmente violentas y altamente organizadas, así como los delitos relacionados con la delincuencia organizada y económico-financiera.
Principales sanciones por incumplimiento de la normativa
En el caso del país luso, no implementar un canal de denuncias, o aplicarlo de forma incorrecta, constituye una infracción grave, sancionada con una multa que va, en el caso de las personas jurídicas, de 10. 000 a 125.000 euros, y en el caso de las personas físicas, de 1.000 a 12.500 euros. También es importante gestionar correctamente todo el proceso del canal de denuncias para garantizar la viabilidad y el seguimiento de los casos, así como la confidencialidad, y para evitar represalias o la comunicación o divulgación pública de información falsa, ya que cualquier incumplimiento de estas obligaciones constituye una infracción muy grave, sancionable con una multa que oscila entre los 1.000 y los 250.000 euros. Cualquier medida disciplinaria adoptada contra el informante hasta dos años después de la denuncia se presume abusiva.
No se pierda ningún detalle de la ley
El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el responsable de la implantación del sistema interno de información, previa consulta con la representación legal de las personas trabajadoras y tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales.
Los sujetos comprendidos dentro del ámbito de aplicación de esta ley proporcionarán la información adecuada de forma clara y fácilmente accesible, sobre el uso de todo canal interno de información que hayan implantado, así como sobre los principios esenciales del procedimiento de gestión. En caso de contar con una página web, dicha información deberá constar en la página de inicio, en una sección separada y fácilmente identificable.
La ley recomienda elegir en primer lugar un sistema de información interno antes que acudir a una fuente externa. En caso de ausencia de respuesta o aclaración por parte de los gestores internos de las denuncias, el informante siempre podrá acudir a las autoridades competentes para informar sobre las infracciones.
Estos pueden ser sistemas digitales, buzones o líneas de información telefónica. Los sistemas elegidos deben preservar en todo momento la confidencialidad del informante, así como del informe. Además, se debe hacer un seguimiento continuo de la información para una mayor investigación.
Es obligatorio contar con un libro – registro de las comunicaciones recibidas y de las investigaciones internas para garantizar en todo momento los requisitos de confidencialidad. El registro no será público.
Cualquier acto de represalia, como amenazas, discriminación o acoso quedan totalmente prohibidos y su incumplimiento conlleva a sanciones económicas.
Francia
En Francia los informantes ya cuentan con la Ley n°2022-401 de 21 de marzo de 2022, publicada en el Boletín Oficial el 22 de marzo de 2022. Esta ley transpone la Directiva Europea 2019/1937 a la legislación francesa. Las empresas tanto públicas como privadas que cuenten con a partir de 50 empleados, así como los municipios de más de 10.000 habitantes y todas las administraciones del Estado están obligadas a establecer un canal de información seguro que garantice la confidencialidad de la identidad del informante en todo momento. Las empresas sujetas a la ley tendrán hasta el 1 de septiembre de 2022 para cumplir con sus disposiciones.
Si nos fijamos en el contexto, la Ley Sapin II, es decir, la Ley n°2016-1691 de 9 de diciembre de 2016 sobre la transparencia, la lucha contra la corrupción y la modernización de la vida económica, fue el primer paso hacia la protección de los informantes. El 16 de diciembre de 2020, los diputados Raphaël Gauvain y Olivier Marleix recibieron el encargo de una misión de evaluación de la Ley Sapin II por parte de la Comisión de Derecho de la Asamblea Nacional. En un informe publicado el 7 de julio de 2021 se proponen una serie de mejoras, entre ellas la transposición de la Directiva (UE) 2019/1937, de 23 de octubre de 2019, relativa a la protección de las personas que denuncian infracciones del Derecho de la Unión Europea, que se presenta como una oportunidad para reforzar el régimen de protección de los informantes francés. En el marco de la ejecución de este informe, el diputado Sylvain Waserman presenta el 21 de julio de 2021 su proyecto de ley ordinaria para mejorar la protección de los informantes en Francia (nº 4398 de 21 de julio de 2021) y un proyecto de ley orgánica para reforzar el papel del defensor de los derechos en materia de denuncia (nº 4375 de 15 de julio de 2021). Estos dos textos se adoptaron definitivamente el 16 de febrero de 2022.
Principales requisitos de la Ley de Protección de Informantes en Francia
- Protección total para los informantes contra represalias
- Establecimiento de un sistema interno de información diseñado y gestionado de forma segura, que garantice en todo momento la protección del informante
- Requisitos de confidencialidad y protección de datos
- Acuse de recibo tras reportar la infracción en un plazo de siete días
- Asignación de un responsable que gestione las infracciones
- Seguimiento y comunicación regular con el informante
- Seguimiento y resolución de la infracción en un plazo no superior a tres meses tras el acuse de recibo
- Proveer información relevante sobre el procedimiento a las autoridades externas competentes cuando sea necesario
Entidades obligadas a implementar un canal de información
Todas aquellas organizaciones que entran en el ámbito de aplicación de los actos de la Unión Europea en materia de la prevención del blanqueo de capitales y la financiación del terrorismo, (por ejemplo, entidades de crédito, empresas inversoras, entidades de pago, entidades de dinero electrónico, organismos de inversión colectiva, fondos de capital riesgo o compañías de seguros).
Requisitos que deben incluir los sistemas internos de información
- Establecer un diseño de acuerdo a la independencia e imparcialidad del canal
- Garantizar la confidencialidad de la identidad o el anonimato de los informantes
- Impedir el acceso a la información a personas no autorizadas
- Designar plazos para responder al informante
- Asignación de un responsable designado a tal efecto, encargado de recibir la denuncia y hacer un seguimiento de la misma
Tipo de infracciones que pueden ser reportadas mediante los canales de información
La Ley Francesa de 21 de marzo de 2022 permite que un informante comunique:
- Delitos o faltas
- Una amenaza o daño al interés general
- Una violación o un intento de ocultar una violación de un compromiso internacional debidamente ratificado o aprobado en Francia, o un acto unilateral de una organización internacional basado en tal compromiso
- Una violación de la ley o normativa de la Unión Europea
Sanciones por incumplimiento de la normativa
En Francia, la nueva Ley promulgada amplía el alcance de medidas de protección, cubriendo el ámbito profesional, y se extiende su amplitud al sector público.
- La exención de responsabilidad penal se extiende a los informantes que se hayan apropiado indebidamente, sustraído u ocultado documentos confidenciales que contengan información relacionada con su denuncia, si han tenido acceso legítimo a ellos. Esta exención se extiende también a los cómplices de esos delitos
- El informante no incurrirá en responsabilidad civil por los daños y perjuicios que pueda ocasionar su denuncia presentada de buena fe
- Las sanciones por prácticas dilatorias o abusivas estarán sujetas ahora a una multa civil de 60.000 euros
- Las personas que discriminen a un alertador pueden ser ahora condenadas a una pena de prisión de 3 años y una multa de 45.000 euros
- El juez tendrá la posibilidad de destinar una provisión para gastos judiciales al informante que impugne una medida de represalia o un procedimiento de medida dilatoria en su contra
No se pierda ningún detalle de la ley
El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el responsable de la implantación del sistema interno de información, previa consulta con la representación legal de las personas trabajadoras y tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales.
Los sujetos comprendidos dentro del ámbito de aplicación de esta ley proporcionarán la información adecuada de forma clara y fácilmente accesible, sobre el uso de todo canal interno de información que hayan implantado, así como sobre los principios esenciales del procedimiento de gestión. En caso de contar con una página web, dicha información deberá constar en la página de inicio, en una sección separada y fácilmente identificable.
La ley recomienda elegir en primer lugar un sistema de información interno antes que acudir a una fuente externa. En caso de ausencia de respuesta o aclaración por parte de los gestores internos de las denuncias, el informante siempre podrá acudir a las autoridades competentes para informar sobre las infracciones.
Estos pueden ser sistemas digitales, buzones o líneas de información telefónica. Los sistemas elegidos deben preservar en todo momento la confidencialidad del informante, así como del informe. Además, se debe hacer un seguimiento continuo de la información para una mayor investigación.
Es obligatorio contar con un libro – registro de las comunicaciones recibidas y de las investigaciones internas para garantizar en todo momento los requisitos de confidencialidad. El registro no será público.
Cualquier acto de represalia, como amenazas, discriminación o acoso quedan totalmente prohibidos y su incumplimiento conlleva a sanciones económicas.
Toda la información sobre la Ley de Informantes se encuentra en nuestro White Paper.
Descargar ahora
Inscríbase ahora a nuestra newsletter sobre Compliance y esté al tanto de las últimas noticias sobre cumplimiento normativo, denuncia de irregularidades y ética empresarial. Una vez se haya registrado en nuestra newsletter sobre Compliance, recibirá el enlace para acceder al white paper por correo electrónico. Puede darse de baja de nuestra newsletter en cualquier momento.