Silbato y mazo

Canal de denuncias: Aspectos clave de la Ley de Protección del Informante.

Francisco González Cuesta
Abogado
23 de marzo de 2023
Contenido
Introducción
Ámbito
Ámbito material y finalidad
Ámbito subjetivo
Entidades obligadas
Autoridad Independiente de Protección del Informante, A.A.I.
Sistema Interno de Información
Canal interno de información
Responsables del Sistema Interno de Información
Procedimiento de gestión de informaciones
Libro‑Registro de informaciones
Canal Externo de Informaciones de la Autoridad Independiente de Protección del Informante, A.A.I
Revelación pública
Publicidad de la información
Protección de datos personales
Medidas de protección
Prohibición de represalias
Régimen sancionador
Entrada en vigor y régimen transitorio
Adaptación de los Sistemas y canales internos de información existentes
Plazo máximo para el establecimiento de Sistemas Internos de Información y adaptación de los ya existentes
Estrategia contra la corrupción
Estatuto de la Autoridad Independiente de Protección del Informante, A.A.I.
Claves para la implantación

Introducción

El 21 de febrero de 2023 se publicó en el BOE la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Con la aprobación de esta ley se transpone e incorpora al ordenamiento jurídico interno la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (Diario Oficial de la Unión Europea de 26/11/2019), en vigor desde el 16 de diciembre de 2019[1]; que establece normas y procedimientos para proteger a los denunciantes o «whistleblowers»[2] sobre infracciones ―incluyendo tanto acciones u omisiones ilícitas como prácticas abusivas― del Derecho de la UE en ámbitos políticos clave (tales como contratación pública, mercados financieros, prevención del blanqueo de capitales y financiación del terrorismo, protección del medio ambiente, salud pública, protección de los consumidores, etc.).
Consta de una Exposición de Motivos de más de 12 páginas, 68 artículos (agrupados en 9 títulos), 6 disposiciones adicionales, 3 disposiciones transitorias y 12 disposiciones finales.
El objetivo fundamental de la ley es facilitar la comunicación de infracciones, mediante la obligación para las empresas con una determinada plantilla de implantar un sistema de información de infracciones y la garantía de la protección de los informantes de infracciones normativas.
La nueva obligación se suma al amplio elenco de políticas, protocolos, planes, códigos y procedimientos que las empresas tienen que implantar en relación con sus plantillas relativas a igualdad, no discriminación, acoso, prevención de riesgos, uso de herramientas digitales, datos personales, registro de jornada, desconexión digital, violencia sexual y por razón de género, trabajo a distancia, etc. La norma conlleva para las empresas una nueva carga burocrática y ―sobre todo― económica, que viene a sumarse a muchas otras.

Ámbito

Ámbito material y finalidad

La ley tiene por finalidad otorgar una protección adecuada ―a través de los procedimientos previstos en la misma― frente a las represalias que puedan sufrir las personas físicas que informen sobre acciones u omisiones que puedan constituir infracciones del Derecho de la Unión Europea o que puedan ser constitutivas de infracción penal o administrativa grave o muy grave ―especialmente, las que impliquen quebranto económico para la Hacienda Pública o para la Seguridad Social―, así como el fortalecimiento de la cultura de la información, de las infraestructuras de integridad de las organizaciones y el fomento de la cultura de la información o comunicación[3] como mecanismo para prevenir y detectar amenazas al interés público.
La ley no es de aplicación a las informaciones que afecten a la información clasificada, ni afecta a las obligaciones que resultan de la protección del secreto profesional de los médicos y abogados y del deber de confidencialidad de las Fuerzas y Cuerpos de Seguridad y del secreto de las deliberaciones judiciales.

Ámbito subjetivo

La ley se aplica tanto a los informantes[4] que trabajen en el sector privado como en el público y que hayan obtenido información sobre infracciones en un contexto laboral o profesional. En todo caso, y aunque la relación laboral o estatutaria haya finalizado, comprende:

  1. Empleados públicos;
  2. trabajadores por cuenta ajena;
  3. voluntarios, becarios y trabajadores en períodos de formación, con independencia de que perciban o no una remuneración;
  4. personas cuya relación laboral todavía no haya comenzado, en los casos en que la información sobre infracciones haya sido obtenida durante el proceso de selección o de negociación precontractual;
  5. representantes de los trabajadores, si asesoran y apoyan al informante;
  6. los que, en su organización, asistan al informante y con los que se relacione y que puedan sufrir represalias, como compañeros de trabajo o familiares, y a las entidades para las que trabaje o con las que mantenga relación laboral, o en las que tenga una participación significativa;
  7. autónomos;
  8. socios, accionistas, partícipes y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa, incluidos los miembros no ejecutivos; y
  9. cualquier persona que trabaje para o bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores.

Entidades obligadas

📢 En el sector privado, están obligadas a configurar un Sistema Interno de Información todas aquellas empresas que tengan más de 50 trabajadores y, con independencia de ese umbral, están obligados los partidos políticos, sindicatos, organizaciones empresariales y fundaciones que dependan de los mismos (siempre que reciban o gestionen fondos públicos) y las empresas que tengan actividades relacionadas con servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente. No obstante, se admite que aquellas empresas que ―superando la cifra de 50― cuenten con menos de 250 trabajadores, puedan compartir medios y recursos para la gestión de las informaciones que reciban (tanto si la gestión se lleva a cabo por cualquiera de ellas como si se externaliza), quedando siempre clara la existencia de canales propios en cada empresa.
Todas las entidades que integran el sector público, sin excepción, están obligadas a disponer de un Sistema Interno de Información en los términos previstos en la ley. A estos efectos, se entienden comprendidos en el sector público:

  1. Administración General del Estado;
  2. administraciones de las Comunidades Autónomas y ciudades con Estatuto de Autonomía;
  3. entidades que integran la Administración Local;
  4. Los organismos y entidades públicas vinculadas o dependientes de alguna Administración Pública, así como aquellas otras asociaciones y corporaciones en las que participen administraciones y organismos públicos;
  5. autoridades administrativas independientes;
  6. Banco de España;
  7. entidades gestoras y servicios comunes de la Seguridad Social;
  8. Universidades públicas;
  9. corporaciones de Derecho público;
  10. fundaciones del sector público; e
  11. instituciones autonómicas análogas a los anteriores.

Autoridad Independiente de Protección del Informante, A.A.I.

La ley autoriza la creación de la Autoridad Independiente de Protección del Informante, Autoridad Administrativa Independiente, como ente de derecho público de ámbito estatal, vinculada al Ministerio de Justicia, con personalidad jurídica propia y plena capacidad pública y privada, que actuará en el desarrollo de su actividad y para el cumplimiento de sus fines con plena autonomía e independencia orgánica y funcional respecto del Gobierno, de las entidades integrantes del sector público y de los poderes públicos en el ejercicio de sus funciones.
Sus funciones son:

  1. Gestión del canal externo de comunicaciones.
  2. Adopción de las medidas de protección al informante previstas en su ámbito de competencias.
  3. Informar preceptivamente los anteproyectos y proyectos de disposiciones generales que afecten a su ámbito de competencias y a las funciones que desarrolla.
  4. Tramitación de los procedimientos sancionadores e imposición de sanciones.
  5. Fomento y promoción de la cultura de la información.

Su estatuto será aprobado, mediante real decreto, por el Consejo de Ministros y en su estructura contará, al menos, con una Comisión Consultiva de Protección del Informante.
La Autoridad Independiente de Protección del Informante, A.A.I., ejercerá la potestad sancionadora por la comisión de infracciones recogidas en el Título IX (Régimen sancionador) [arts. 60 a 68].

Sistema Interno de Información

El Sistema Interno de Información (comúnmente conocido como «canal de denuncias») es el cauce preferente para informar sobre las acciones u omisiones, siempre que se pueda tratar de manera efectiva la infracción y si el denunciante considera que no hay riesgo de represalia.
Los municipios de menos de 10.000 habitantes, entre sí o con cualesquiera otras Administraciones Públicas que se ubiquen dentro del territorio de la comunidad autónoma, podrán compartir el Sistema Interno de Información y los recursos destinados a las investigaciones y las tramitaciones. Igualmente, las entidades pertenecientes al sector público con personalidad jurídica propia vinculadas o dependientes de órganos de las Administraciones territoriales, y que cuenten con menos de 50 trabajadores, podrán compartir con la Administración de adscripción el Sistema Interno de Información y los recursos destinados a las investigaciones y las tramitaciones. En todo caso, deberá garantizarse que los sistemas resulten independientes entre sí y los canales aparezcan diferenciados respecto del resto de entidades u organismos, de modo que no se genere confusión a los ciudadanos.
‼ Las personas jurídicas obligadas por la norma deben contar con un Sistema Interno de Información en los términos establecidos en la ley. El órgano de administración u órgano de gobierno de cada entidad u organismo obligado será el responsable de la implantación del Sistema Interno de Información, previa consulta con los representantes legales de los trabajadores, y tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales.
Dicho sistema puede ser gestionado dentro de la propia entidad u organismo o bien puede externalizarse en un tercero (que ofrezca garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto de las comunicaciones), sin menoscabo de las garantías y requisitos, ni atribución de responsabilidad a persona distinta al Responsable del Sistema. Sin embargo, el sector público sólo podrá encargar la gestión a un tercero externo en aquellos casos en los que se acredite insuficiencia de medios propios y sólo para la recepción de las informaciones sobre infracciones.
En el caso de un grupo de empresas, el Sistema Interno de Información, y el Responsable del Sistema, puede ser uno para todo el grupo.
🖱 Las entidades obligadas deben publicitar de forma clara y accesible el uso del canal interno de información y los procedimientos de gestión y, si poseen web, constará en la página de inicio, en sección separada e identificable.
El Sistema Interno de Información se articula sobre tres ejes:

  1. Canal interno de información.
  2. Responsables del Sistema Interno de Información.
  3. Procedimiento de gestión de informaciones.

Canal interno de información

Todo canal interno de información[5] de que disponga una entidad para posibilitar la presentación de información respecto de las infracciones estará integrado dentro del Sistema Interno de Información.
El canal interno deberá permitir realizar comunicaciones:

  1. Por escrito:
    1. Por correo postal.
    2. Por cualquier medio electrónico habilitado al efecto (p. ej.: correo electrónico).
  2. Verbalmente (se documentarán grabando la conversación en formato seguro, duradero y accesible, o bien con transcripción completa y exacta de la conversación):
    1. Por vía telefónica
    2. A través de sistema de mensajería de voz.
    3. Mediante una reunión presencial dentro del plazo máximo de 7 días, si lo solicita el informante,

Los canales internos de información permitirán la presentación y posterior tramitación de comunicaciones anónimas.
Los canales internos de información podrán estar habilitados por la entidad que los gestione para la recepción de cualesquiera otras comunicaciones o informaciones fuera del ámbito establecido en la ley, si bien dichas comunicaciones y sus remitentes quedarán fuera del ámbito de protección dispensado por la misma.

Responsables del Sistema Interno de Información

Se crea la figura del Responsable del Sistema Interno de Información, que será designado por el órgano de administración de cada entidad u organismo obligado y podrá ser una persona física o un órgano colegiado; en este último caso, se deberá delegar en uno de sus miembros las facultades de gestión del Sistema Interno de Información y de tramitación de expedientes de investigación.
El Responsable del Sistema deberá desarrollar sus funciones de forma independiente y autónoma respecto del resto de los órganos de la entidad u organismo, no podrá recibir instrucciones de ningún tipo en su ejercicio, y deberá disponer de todos los medios personales y materiales necesarios para llevarlas a cabo. Su nombramiento y cese, y el de los integrantes del órgano colegiado, se notificarán a la Autoridad Independiente de Protección del Informante o, en su caso, a las autoridades de las comunidades autónomas.
En el caso del sector privado, el Responsable del Sistema será un directivo de la entidad, que ejercerá su cargo con independencia del órgano de administración o de gobierno de la misma. No obstante, cuando la naturaleza o la dimensión de las actividades de la entidad no justifiquen o permitan la existencia de un directivo Responsable del Sistema, será posible el desempeño ordinario de las funciones del puesto o cargo con las de Responsable del Sistema, tratando en todo caso de evitar posibles situaciones de conflicto de interés.
En las entidades u organismos en las que ya existiera un responsable de la función de cumplimiento normativo (o compliance officer), cualquiera que fuese su denominación, podrá ser éste la persona designada como Responsable del Sistema, siempre que cumpla los requisitos establecidos en la ley.
Su nombramiento y cese, y el de los integrantes del órgano colegiado, se notificarán a la Autoridad Independiente de Protección del Informante o, en su caso, a las autoridades de las comunidades autónomas, en el plazo de los 10 días hábiles siguientes.

Procedimiento de gestión de informaciones

El órgano de administración o de gobierno debe aprobar el procedimiento de gestión de informaciones, y el Responsable del Sistema responderá de su tramitación diligente.
El procedimiento aprobado:

  • Identificará el canal o canales internos de información a los que se asocia.
  • Informará, de forma clara y accesible, de los canales externos de información de las autoridades y, en su caso, de la Unión Europea.
  • Habilitará el acuse de recibo de las comunicaciones (en el plazo máximo de 7 días), salvo que pongan en peligro la confidencialidad del informante.
  • Fijará el plazo máximo de duración las actuaciones de investigación (que no podrá ser superior a 3 meses).
  • Posibilitará mantener comunicaciones con el informante y solicitarle información adicional.
  • Reconocerá al afectado el derecho a ser informado y a ser oído.
  • Garantizará la confidencialidad cuando la comunicación sea remitida por canales no establecidos o dirigida a no responsables de su tratamiento.
  • Respetará la presunción de inocencia, el honor y la reserva de los datos personales.
  • Promoverá su remisión al Ministerio Fiscal con carácter inmediato, cuando los hechos pudieran ser indiciariamente constitutivos de delito.

Los afectados por las informaciones tienen derecho a su presunción de inocencia, a la defensa, al acceso al expediente y, en definitiva, a la misma protección que se establece para los informantes, preservándose su identidad y confidencialidad.

Libro‑Registro de informaciones

Todos los sujetos obligados a disponer de un canal interno de informaciones, deberán contar con un libro‑registro de las informaciones recibidas y de las investigaciones internas a que hayan dado lugar, garantizando, en todo caso, los requisitos de confidencialidad previstos en la ley.
Este registro no será público y únicamente a petición razonada de la Autoridad judicial competente, mediante auto, y en el marco de un procedimiento judicial y bajo la tutela de aquélla, podrá accederse total o parcialmente al contenido del referido registro.
Los datos personales relativos a las informaciones recibidas y a las investigaciones internas sólo se conservarán durante el período que sea necesario y proporcionado a efectos de cumplir con la ley (en ningún caso superior a 10 años).

Canal Externo de Informaciones de la Autoridad Independiente de Protección del Informante, A.A.I

Toda persona física podrá informar ante la Autoridad Independiente de Protección del Informante, A.A.I., o ante las autoridades u órganos autonómicos correspondientes, de la comisión de cualesquiera acciones u omisiones incluidas en el ámbito de aplicación de la ley, ya sea directamente o previa comunicación a través del correspondiente canal interno.
La gestión de las informaciones se realizará en los términos establecidos en los arts. 17 y siguientes, tanto en relación con su recepción, como trámite de admisión, instrucción y terminación de las actuaciones, que concluirán con informe, tras el cual la A.A.I. adoptará alguna de las siguientes actuaciones:

  1. Archivo del expediente.
  2. Remisión al Ministerio Fiscal, si del curso de la instrucción se aprecian hechos que pudieran revestir delito.
  3. Traslado de todo lo actuado a la autoridad competente.
  4. Adopción de acuerdo de inicio de un procedimiento sancionador.

El plazo máximo de resolución será de 3 meses, y las decisiones no serán recurribles en vía administrativa ni contencioso‑administrativa, sin perjuicio de los recursos interpuestos contra la eventual resolución que ponga fin al procedimiento sancionador incoado.
Las Comunidades Autónomas pueden crear también sus correspondientes canales externos y organismos responsables de los mismos o suscribir convenios para que sea la Autoridad Independiente de Protección del Informante quien actúe como canal externo de informaciones en sus territorios.

Revelación pública

La revelación pública es el tercer sistema de comunicación para proteger al informante. Se define como la puesta a disposición del público de información sobre acciones u omisiones en los términos previstos en la ley.
A las personas que hagan una revelación pública les será aplicable el régimen de protección establecido cuando se cumpla alguna de las siguientes condiciones

  1. Que haya realizado la comunicación primero por canales internos y externos, o directamente por canales externos, sin que se hayan tomado medidas apropiadas al respecto en el plazo establecido.
  2. Que tenga motivos razonables para pensar que, o bien la infracción puede constituir un peligro inminente o manifiesto para el interés público, en particular cuando se da una situación de emergencia, o existe un riesgo de daños irreversibles, incluido un peligro para la integridad física de una persona; o bien, en caso de comunicación a través de canal externo de información, exista riesgo de represalias o haya pocas probabilidades de que se dé un tratamiento efectivo a la información debido a las circunstancias particulares del caso, tales como la ocultación o destrucción de pruebas, la connivencia de una autoridad con el autor de la infracción, o que ésta esté implicada en la infracción.

No obstante, se prevé expresamente que las condiciones para acogerse a esta protección de la revelación pública no serán exigibles cuando la persona haya revelado información directamente a la prensa con arreglo al ejercicio de la libertad de expresión y de información veraz previstas constitucionalmente y en su legislación de desarrollo.

Publicidad de la información

Los sujetos comprendidos dentro del ámbito de aplicación de la ley proporcionarán la información adecuada, de forma clara y fácilmente accesible, sobre el uso de todo canal interno de información que hayan implantado, así como sobre los principios esenciales del procedimiento de gestión. En caso de contar con una página web, dicha información deberá constar en la página de inicio, en una sección separada y fácilmente identificable.
Igualmente, las autoridades independientes de protección a informantes deberán publicar en una sección separada, fácilmente identificable y accesible de su sede electrónica, como mínimo, la información recogida en el art. 25.

Protección de datos personales

Los tratamientos de datos personales que deriven de la aplicación de esta ley se regirán por lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos); en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; y en la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
Se considerarán lícitos los tratamientos de datos personales necesarios para la aplicación de la ley.
La persona a la que se refieran los hechos relatados no será en ningún caso informada de la identidad del informante o de quien haya llevado a cabo la revelación pública. La identidad del informante y de las personas investigadas sólo puede ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora.
En caso de que la persona a la que se refieran los hechos relatados en la comunicación o a la que se refiera la revelación pública ejerciese el derecho de oposición, se presumirá que ―salvo prueba en contrario― existen motivos legítimos imperiosos que legitiman el tratamiento de sus datos personales.
Es lícito el tratamiento de los datos personales necesarios, pero el acceso a los datos personales contenidos en el Sistema Interno de Información quedará limitado, dentro del ámbito de sus competencias y funciones, exclusivamente a los siguientes sujetos:

  1. El Responsable del Sistema y a quien lo gestione directamente.
  2. El responsable de recursos humanos o el órgano competente debidamente designado, sólo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador. En el caso de los empleados públicos, el órgano competente para la tramitación del mismo.
  3. El responsable de los servicios jurídicos de la entidad u organismo, si procediera la adopción de medidas legales en relación con los hechos relatados en la comunicación.
  4. Los encargados del tratamiento que eventualmente se designen.
  5. El delegado de protección de datos.

Quien presente una comunicación o lleve a cabo una revelación pública tiene derecho a que su identidad no sea revelada a terceras personas.
La identidad del informante solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora.

Medidas de protección

Las personas que comuniquen o revelen infracciones tendrán derecho a protección siempre que concurran las circunstancias siguientes:

  1. tengan motivos razonables para pensar que la información referida es veraz en el momento de la comunicación o revelación, aun cuando no aporten pruebas concluyentes, y que la citada información entra dentro del ámbito de aplicación de la ley; y
  2. la comunicación o revelación se haya realizado conforme a los requerimientos previstos en la ley.

Prohibición de represalias

El sistema de protección se articula en torno a los siguientes ejes de medias:

  1. Medidas de apoyo (artículo 37).
  2. Medidas de protección frente a represalias.
  3. Medidas para la protección de las personas afectadas.

Se prohíben expresamente los actos constitutivos de represalia, incluidas las amenazas de represalia y las tentativas de represalia contra las personas que presenten una comunicación conforme a lo previsto en la ley. Son represalias los actos u omisiones que, directa o indirectamente, suponga trato desfavorable, discriminatorio o injusto y que sitúe al que las sufre en desventaja laboral o profesional. A estos efectos, y a título meramente enunciativo, se consideran represalias:

  1. Suspensión del contrato de trabajo, despido o extinción de la relación laboral o estatutaria, incluyendo la no renovación o la terminación anticipada de un contrato de trabajo temporal una vez superado el período de prueba, o terminación anticipada o anulación de contratos de bienes o servicios, imposición de cualquier medida disciplinaria, degradación o denegación de ascensos y cualquier otra modificación sustancial de las condiciones de trabajo y la no conversión de un contrato de trabajo temporal en uno indefinido, en caso de que el trabajador tuviera expectativas legítimas de que se le ofrecería un trabajo indefinido; salvo que estas medidas se llevaran a cabo dentro del ejercicio regular del poder de dirección al amparo de la legislación laboral o reguladora del estatuto del empleado público correspondiente, por circunstancias, hechos o infracciones acreditadas, y ajenas a la presentación de la comunicación.
  2. Daños, incluidos los de carácter reputacional, o pérdidas económicas, coacciones, intimidaciones, acoso u ostracismo.
  3. Evaluación o referencias negativas respecto al desempeño laboral o profesional.
  4. Inclusión en listas negras o difusión de información en un determinado ámbito sectorial, que dificulten o impidan el acceso al empleo o la contratación de obras o servicios.
  5. Denegación o anulación de una licencia o permiso.
  6. Denegación de formación.
  7. Discriminación, o trato desfavorable o injusto.

Una vez que el informante haya demostrado razonablemente que ha comunicado o ha hecho una revelación pública y que ha sufrido un perjuicio, se presume iuris tantum que el perjuicio se produjo como represalia por informar.
Son nulos de pleno derecho aquellos actos y conductas que puedan calificarse de represalias y se adopten dentro de los 2 años siguientes a ultimar las investigaciones; y darán lugar a medidas disciplinarias o de responsabilidad, incluyendo una indemnización de daños y perjuicios.
Además, se recogen una serie de medidas de apoyo para los informantes: desde información y asesoramiento o asistencia jurídica hasta ―excepcionalmente― apoyo financiero y psicológico.
Durante la tramitación del expediente, las personas afectadas por la comunicación tendrán derecho a la presunción de inocencia, al derecho de defensa y al derecho de acceso al expediente, así como a la misma protección establecida para los informantes, preservándose su identidad y garantizándose la confidencialidad de los hechos y datos del procedimiento.
No se protege a los que comuniquen informaciones inadmitidas, las vinculadas a conflictos interpersonales o que afecten únicamente al informante y a los que se refiera la comunicación, las que estén disponibles para el público o los meros rumores, ni a los que las revelen directamente a la prensa.

Régimen sancionador

El ejercicio de la potestad sancionadora en el ámbito establecido en la ley corresponde a la Autoridad Independiente de Protección del Informante, A.A.I. y a los órganos competentes de las comunidades autónomas, sin perjuicio de las facultades disciplinarias que en el ámbito interno de cada organización pudieran tener los órganos competentes
Están sujetos al régimen sancionador establecido en la ley las personas (físicas y jurídicas) que realicen cualquiera de las actuaciones descritas como infracciones ―catalogadas con la tradicional división entre muy graves, graves y leves― en el artículo 63 de la ley.
La comisión de infracciones conlleva la imposición de las siguientes multas:

Infractor Infracciones Leves Infracciones Graves Infracciones
Muy Graves
Persona física: 1.001 – 10.000 € 10.001 – 30.000 € 30.001 – 300.000 €
Persona jurídica: Hasta 100.000 € 100.001 – 600.000 € 600.001 – 1.000.000 €

Adicionalmente, en el caso de infracciones muy graves, la Autoridad Independiente de Protección del Informante, A.A.I. podrá acordar:

  1. La amonestación pública.
  2. La prohibición de obtener subvenciones u otros beneficios fiscales durante un plazo máximo de 4 años.
  3. La prohibición de contratar con el sector público durante un plazo máximo de 3 años de conformidad con lo previsto en la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP).

Además, las sanciones por infracciones muy graves de cuantía igual o superior a 600.001 € impuestas a entidades jurídicas podrán ser publicadas en el BOE tras la firmeza de la resolución en vía administrativa.
⚠ Conviene destacar que se considera infracción muy grave el «incumplimiento de la obligación de disponer de un Sistema interno de información en los términos exigidos en esta ley»[6].
La norma establece un sistema de clemencia (similar al propio de la normativa de defensa de la competencia), contemplando supuestos de exención y atenuación de la sanción cuando una persona que hubiera participado en la comisión de la infracción administrativa objeto de la información sea la que informe de su existencia mediante la presentación de la información y siempre que la misma hubiera sido presentada con anterioridad a que hubiera sido notificada la incoación del procedimiento de investigación o sancionador, si concurren las siguientes circunstancias:

  1. Haber cesado en la comisión de la infracción en el momento de presentación de la comunicación o revelación e identificado, en su caso, al resto de las personas que hayan participado o favorecido aquella.
  2. Haber cooperado plena, continua y diligentemente a lo largo de todo el procedimiento de investigación.
  3. Haber facilitado información veraz y relevante, medios de prueba o datos significativos para la acreditación de los hechos investigados, sin que haya procedido a la destrucción de estos o a su ocultación, ni haya revelado a terceros, directa o indirectamente su contenido.
  4. Haber procedido a la reparación del daño causado que le sea imputable.

Las infracciones muy graves prescribirán a los 3 años, las graves a los 2 años y las leves a los 6 meses.

Entrada en vigor y régimen transitorio

La Ley 2/2023 entró en vigor el 13 de marzo de 2023 (a los 20 días de su publicación en el «Boletín Oficial del Estado»).

Adaptación de los Sistemas y canales internos de información existentes

Los sistemas internos de comunicación y sus correspondientes canales que, a la entrada en vigor de la ley, tengan habilitados las entidades u organismos obligados podrán servir para dar cumplimiento a las previsiones de la ley siempre y cuando se ajusten a los requisitos establecidos en la misma.

Plazo máximo para el establecimiento de Sistemas Internos de Información y adaptación de los ya existentes

⏳ Las Administraciones, organismos, empresas y demás entidades obligadas a contar con un Sistema Interno de Información deberán implantarlo en el plazo máximo de 3 meses a partir de la entrada en vigor de la ley; es decir, antes del 13 de junio de 2023. Como excepción, para las empresas con menos de 250 trabajadores y los municipios de menos de 10.000 habitantes, el plazo se extenderá hasta el 1 de diciembre de 2023[7].
Los canales y procedimientos de información externa deberán adaptarse en el plazo de 6 meses, es decir, antes del 13 de septiembre de 2023.

Estrategia contra la corrupción

El Gobierno, en el plazo máximo de dieciocho meses a contar desde la entrada en vigor de la ley, deberá aprobar una Estrategia contra la corrupción que ―al menos― deberá incluir una evaluación del cumplimiento de los objetivos establecidos en la ley así como las medidas que se consideren necesarias para paliar las deficiencias que se hayan encontrado en ese periodo de tiempo.

Estatuto de la Autoridad Independiente de Protección del Informante, A.A.I.

En el plazo de un año desde la entrada en vigor de la ley, el Consejo de Ministros aprobará mediante real decreto, a propuesta conjunta de los Ministerios de Justicia y de Hacienda y Función Pública, el Estatuto de la Autoridad Independiente de Protección del Informante, A.A.I.

Claves para la implantación

Las claves para la implantación del sistema son:

  • Negociar su implementación con los representantes de los trabajadores.
  • Informar y formar a los empleados sobre su finalidad, existencia y funcionamiento.
  • Dotar a la organización de un procedimiento objetivo y transparente.
  • Garantizar la eficacia y validez normativa.
  • Evaluar su funcionamiento.
  • Establecer un régimen disciplinario que persiga las infracciones detectadas.
  • Insertar el sistema en programas de compliance.

© 2023 González Cuesta Abogados, S.L.P.
Todos los derechos reservados. Este documento es una recopilación de información jurídica elaborado por González Cuesta Abogados. La información o comentarios que se incluyen en el mismo es de carácter genera y no constituyen asesoramiento jurídico alguno. Los derechos de propiedad intelectual sobre este documento son titularidad de González Cuesta Abogados. Queda prohibida la reproducción en cualquier medio, la distribución, la cesión y cualquier otro tipo de utilización de este documento, ya sea en su totalidad, ya sea en forma extractada, sin la previa autorización de González Cuesta Abogados.

  1. La Directiva (UE) 2019/1937 debía haber sido transpuesta antes del 17 de diciembre de 2021.
  2. Whistleblower: Persona que usa el silbato para dar alerta.
  3. La Ley 2/2023 usa los términos «comunicación» o «información», mientras que la Directiva (UE) 2019/1937 utiliza el término «denuncia».
  4. La Ley 2/2023 utiliza el término «informante», mientras que la Directiva (UE) 2019/1937 usa el término «denunciante».
  5. «Canales de denuncias interno», en la terminología de la Directiva (UE) 2019/1937.
  6. Cfr. Art. 63.1.g).
  7. Cfr. Disposición transitoria segunda.
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Más información
Privacidad
×