Canales de denuncia en las empresas: las claves de la nueva Ley de protección al informante desde todos los ángulos

La nueva Ley de protección al informante obliga a las empresas con 50 o más trabajadores a contar con un sistema interno de información (canal de denuncias) y prevé multas que pueden alcanzar hasta 1.000.000 euros. Lo analizamos desde diferentes puntos de vista: laboral, protección de datos, penal, gobierno corporativo y prevención del blanqueo de capitales y la financiación del terrorismo.

Las empresas con más de 250 trabajadores deben contar, antes del 13 de junio de 2023, con un sistema interno de información a través del cual se puedan comunicar infracciones normativas (canal de denuncias), así como un sistema de gestión y protección de los informantes para evitar represalias contra los mismos. Y aquellas que cuenten con entre 50 y 249 trabajadores tienen de plazo hasta el 1 de diciembre de 2023. Así lo establece la nueva Ley 2/2023, de 20 de febrero, reguladora de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, también conocida como Ley Whistleblowing, en su terminología anglosajona. 

Las nuevas exigencias tienen implicaciones desde todos los ángulos del derecho de los negocios. En este artículo, abordamos las claves de la norma desde el punto de vista laboral, de protección de datos, penal, de gobierno corporativo y de prevención del blanqueo de capitales y la financiación del terrorismo.

Laboral

La Ley de protección al informante tiene unos objetivos, un contenido y un enfoque íntimamente vinculados con el ordenamiento jurídico-laboral.

Por ejemplo, la ley exige que la implantación del sistema interno de información se lleve a cabo previa consulta con la representación legal de los trabajadores.

Asimismo, la norma exige integrar en el sistema interno de información los distintos canales que pudieran establecerse dentro de la entidad, tales como los protocolos de prevención contra el acoso moral, sexual y por razón de sexo, la violencia sexual o la discriminación del colectivo LGTBI.

En este sentido, no hemos de olvidar que, en la mayor parte de los casos, los protagonistas de toda información y de la investigación interna que se inicia tras recibirla (por ejemplo, informante, afectado, testigos, etc.) son trabajadores cuyo vínculo con la compañía es una relación laboral. 

Por ello, a la hora de implementar y gestionar un sistema interno de información y desarrollar una investigación interna, es crucial conocer las obligaciones y derechos de  los trabajadores, así como los requisitos formales que han de respetarse desde una perspectiva jurídico-laboral.

Protección de datos

Una de las cuestiones más controvertidas en relación con la protección de datos personales introducida por la Ley de protección al informante es la mención en el artículo 5.1. a la calificación del órgano de administración como responsable del tratamiento del sistema interno de información.

Esta calificación implicaría que el órgano de administración estaría obligado a cumplir con todas las obligaciones previstas en la normativa de protección de datos personales (RGPD y LOPD-gdd) en relación con el sistema interno de información, pudiendo ser sancionado con multas de hasta 20 millones de euros por los incumplimientos en materia de privacidad derivados de su rol como responsable del tratamiento.

Esta consideración fue incluida en la Ley a raíz de una petición de la Agencia Española de Protección de Datos (AEPD) en su informe al anteproyecto de ley. Sin embargo, la propia AEPD ha emitido posteriormente un informe en el que clarifica que la interpretación correcta de este artículo 5.1. es que es la Sociedad quién debe ser responsable del tratamiento y no el órgano de administración. Explicamos más ampliamente esta cuestión en nuestra alerta que se puede consultar aquí

Además, la norma presenta diversas incongruencias en su articulado en relación con esta materia. Por ejemplo, a la hora de definir el tratamiento de datos sensibles o al determinar el almacenamiento de datos personales derivados de comunicaciones que se reciban en el sistema interno de información que no estén vinculadas con conductas incluidas en el ámbito de aplicación de la Ley de protección al informante.

Otro de los aspectos relevantes que está dando lugar a importantes debates es la limitación de acceso a datos personales por determinados colectivos o responsables de la organización, lo cual puede afectar directamente a la composición del Responsable del Sistema, cuando este es un órgano colegiado.
Se trata de aspectos muy relevantes que han de ser analizados y cubiertos desde la perspectiva de la protección de datos personales.

Penal

Tras la Ley de protección al informante es necesario garantizar que el procedimiento que regula el funcionamiento del sistema interno de información sea compatible con el derecho a la defensa de la organización ante un eventual procedimiento penal. 

Además, la perspectiva de compliance penal a la hora de implementar el sistema interno de información es esencial, tanto en las empresas que contaban ya con canales éticos o de denuncia para la comunicación de irregularidades e incumplimientos, como en el caso de organizaciones que ya disponen de un modelo de compliance penal y una función de cumplimiento, toda vez que deberá asegurarse su coherencia con los elementos propios del sistema interno de información. 

Gobierno corporativo

Especialmente en el caso de los grupos de empresas, la Ley de protección al informante prevé distintas posibilidades permitiendo, por ejemplo, que haya un único sistema interno de información (y, por ende, un responsable del sistema) para todo el grupo o bien que cada sociedad filial tenga su propio sistema (y, en consecuencia, su propio responsable).

Por ello, es preciso no sólo centrarse en las cuestiones programáticas y procedimentales que prevé la ley con carácter general para cualquier sociedad, sino también en diseñar el modelo más conveniente desde el punto de vista de la adecuada localización y aislamiento de sus riesgos y el cumplimiento de las exigencias de la nueva normativa en este ámbito.  

La conveniencia de optar por una u otra posibilidad dependerá de diversos factores como la estructura societaria y de gobierno corporativo de cada grupo de sociedades y el nivel de descentralización que se quiera adoptar en cada caso. 

Prevención del blanqueo de capitales y de la financiación del terrorismo

La Ley de protección al informante incluye, dentro de su ámbito de aplicación, a todos los sujetos obligados a prevenir el blanqueo de capitales y la financiación del terrorismo. 

La implantación de un sistema interno de información que incluya la posibilidad de comunicar los incumplimientos de la normativa y procedimientos de prevención del blanqueo y la financiación del terrorismo diseñados por las entidades supone también, siempre que se cumplan las especificaciones previstas en la norma de referencia, el cumplimiento de la obligación de mantener el canal de denuncias incorporado en 2018 a la normativa de prevención.