La Ley 2/2023, de 20 de febrero, que entró en vigor el 13 de marzo de 2023, supone un impacto significativo para las medianas y grandes empresas, que estarán obligadas a implantar un sistema interno de denuncias.
¿A quién se protege?
La norma tiene como objetivo principal proteger a quienes denuncien prácticas corruptas, fraudes o cualquier vulneración de leyes nacionales o europeas en el contexto laboral o profesional, mediante el establecimiento de canales de comunicación protegidos y la prohibición de cualquier represalia contra ellos.
¿Qué entidades están obligadas por ley?
Las entidades obligadas por la Ley a establecer los sistemas de denuncias y a garantizar las medidas de protección, son tanto del sector privado como del público. En el sector privado están obligados los siguientes sujetos:
- Las personas físicas o jurídicas del sector privado que tengan contratados cincuenta o más trabajadores.
- Las personas jurídicas del sector privado que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención de blanqueo de capitales o de financiación de terrorismo, seguridad del transporte y protección del medio ambiente, con independencia del número de trabajadores y que tendrán un sistema interno de información conforme a su normativa específica.
- Los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros cuando reciban o gestionen fondos públicos.
¿Cuál es el plazo para establecer el sistema interno de información?
El plazo para la implantación del sistema para las empresas de más de 249 personas trabajadoras es de 3 meses desde el 13 de marzo, hasta el 13 de junio; y como excepción, se extiende este plazo hasta el 1 de diciembre de 2023 para las empresas con una plantilla de entre 50 y 249 personas.
¿Qué sistemas de denuncias prevé la nueva Ley?
Los sistemas de denuncia previstos para canalizar las infracciones son:
- El canal interno de la empresa, que deberá garantizar la protección, confidencialidad y anonimato (si así lo desea) del informante.
- El canal externo o la Autoridad Independiente de Protección del Informante.
- Revelación pública en plataformas web, redes sociales o medios de comunicación, cuando los cauces internos o externos no hayan funcionado; exista una amenaza inminente para el interés público o exista un riesgo de represalias o de no tratamiento efectivo.
¿Qué requisitos debe cumplir el sistema interno de información?
Las principales características que debe reunir el sistema interno son las siguientes:
- Garantizar la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, así como de las actuaciones que se desarrollen en la gestión y tramitación de la misma y la protección de datos.
- Permitir la presentación de comunicaciones por escrito o verbalmente, o de ambos modos.
- Integrar los distintos canales internos de información que pudieran establecerse dentro de la entidad.
- Garantizar que las comunicaciones presentadas puedan tratarse de manera efectiva dentro de la correspondiente entidad con el objetivo de que el primero en conocer la posible irregularidad sea la propia entidad.
- Contar con un responsable del sistema.
- Contar con una política o estrategia que enuncie los principios generales en materia de Sistemas interno de información y defensa del informante y que sea debidamente publicitada en el seno de la entidad u organismo.
- Contar con un procedimiento de gestión de las informaciones recibidas.
- Establecer garantías para la protección de los informantes en el ámbito de la propia entidad u organismo.
- Las empresas que tengan entre 50 y 249 trabajadores podrán compartir entre sí el sistema interno de información y los recursos destinados a la gestión y tramitación de las comunicaciones.
- Para el caso de los grupos de empresas, se prevé la posibilidad de establecer un sistema de información integrado, con un único responsable del mismo.
Régimen sancionador
El incumplimiento o implementación deficiente de los sistemas de información conllevará enfrentarse a sanciones que, en caso de infracciones muy graves, podrían alcanzar:
- Multas de hasta 1.000.000 de euros para las personas jurídicas y 300.000 euros para las personas físicas.
- Amonestaciones públicas.
- Prohibición de obtener subvenciones u otros beneficios fiscales durante un plazo de 4 años.
- Prohibición de contratar con el sector público durante un plazo de 3 años
¿Qué personas son responsables de la implantación y gestión del sistema?
El órgano de administración de la compañía es el responsable de implantar el sistema de información de denuncias, previa consulta con la representación legal de los trabajadores.
En lo que respecta a la gestión del sistema y la tramitación de las comunicaciones, las entidades deberán contar con un responsable del sistema interno de información.
Esta nueva obligación prevista en la Ley 2/2023, de 20 de febrero, transpone al ordenamiento español la Directiva de Whistleblowing, pretende reforzar la cultura de cumplimiento de las entidades públicas y privadas, y se suma a las políticas, protocolos, planes, códigos y procedimientos que las compañías deben implantar con sus plantillas.
Desde Baker Tilly – AddVANTE contamos con un equipo de expertos en programas de cumplimiento normativo, que llevamos desarrollando e implantando desde la reforma del Código Penal que introdujo la exención de la responsabilidad penal de las personas jurídicas, en el que juega un papel esencial el canal de denuncias.