Directiva Whistleblowing - Todo lo que necesita saber

El 16 de diciembre de 2019 entró en vigor la Directiva Whistleblowing. Le mostramos cómo puede aplicar la directiva de forma rápida y sencilla en su empresa.

Con este Whitepaper obtendrá:

La Directiva Whistleblowing – Todo lo que necesita saber sobre su transposición en España

Los alertadores son fundamentales para preservar una sociedad abierta y transparente. Gracias a ellos, conductas indebidas y actos ilícitos pueden ser descubiertos a tiempo y evitar así daños de reputación y pérdidas económicas. Para protegerlos mejor de las consecuencias negativas y las represalias, como el despido, el traslado, la degradación o la intimidación, el 16 de diciembre de 2019 entró en vigor la Directiva UE 2019/1937 de Protección de los Denunciantes. Los Estados miembros deben transponer la directiva antes del 17 de diciembre de 2021 a su legislación nacional.

El objetivo de la Directiva Whistleblowing es:

Ley de Protección de Informantes: Contexto Actual de la Directiva Whistleblowing en España

La cultura de whistleblowing es bastante reciente en España. En los últimos años, varias Comunidades Autónomas han aplicado iniciativas para proteger la figura de los informantes contra represalias como acoso o discriminación. Sin embargo, hasta ahora no había una ley que cubriese todos los requisitos básicos de protección. Ante este confuso mosaico legislativo no solo en España, sino también en Europa, en diciembre de 2019 el Parlamento aprueba la Directiva Whistleblowing.

El pasado 17 de diciembre de 2021 se cumplía el plazo de transposición de la normativa a la legislación española. Tras transponerse en varios estados europeos, España no adoptó la ley a tiempo y fue expeditada por Bruselas con un procedimiento sancionador en febrero de 2022. Tras meses de incertidumbre ante la salida de un borrador por parte del gobierno, el 4 de marzo de 2022, el gobierno aprueba el Anteproyecto de Ley de Informantes. Unos meses después, el 13 de septiembre de 2022, la Ministra de Justicia Pilar Llop, aprueba el “Proyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción«.

A partir de ahora, todas las empresas públicas y privadas de a partir de 50 empleados deberán contar con sistemas de información internos que garanticen la seguridad y confidencialidad para que toda persona que informe sobre un acto ilícito no sufra represalias.

El 23 de septiembre de 2022, la Mesa de la Cámara adopta el siguiente acuerdo: Se encomienda su aprobación con competencia legislativa plena y por el procedimiento de urgencia, estableciendo plazo de enmiendas, por un período de ocho días hábiles, que finaliza el día 3 de octubre de 2022.

Se debe tener en cuenta:

Enmiendas parciales

El 28 de noviembre de 2022, el Congreso de los Diputados expone las enmiendas 121/000123 del Proyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. 

En total, se han redactado 290 enmiendas, con las distintas valoraciones de los Grupos Parlamentarios.

No se pierda ningún detalle de la Directiva Whistleblowing

Ya no solo se protegerá a los empleados, sino también a trabajadores autónomos, proveedores, accionistas, exempleados, becarios remunerados o no, voluntarios o personas que participen en el proceso de contratación, entre otros.

El denunciante tiene el derecho de informar sobre una infracción si tiene la certeza de que lo que ha observado es un acto ilegal y cumple con los ámbitos que cubre la directiva.

La Directiva recomienda elegir en primer lugar un canal de denuncias interno antes que acudir a una fuente externa. En caso de ausencia de respuesta o aclaración por parte de los gestores internos de las denuncias, el alertador siempre podrá acudir a las autoridades competentes para informar sobre las infracciones.

Estos pueden ser canales digitales, buzones o líneas de denuncia telefónica. Los canales elegidos deben preservar en todo momento la confidencialidad del denunciante, así como de la denuncia. Además, se debe hacer un seguimiento continuo de la denuncia para una mayor investigación.

El alertador deberá recibir una resolución validada por parte del gestor de las denuncias en los próximos tres meses tras haber interpuesto la denuncia.

Cualquier acto de represalia, como amenazas, discriminación o acoso quedan totalmente prohibidos y su incumplimiento conlleva a sanciones económicas.

Toda la información sobre la directiva, incluida una checklist, se encuentra en nuestro white paper

Próximos pasos y consejos

La Directiva de protección de los alertadores entró en vigor el 16 de diciembre de 2019. Esto marca el inicio del período de dos años durante el cual los Estados miembros de la UE deben transponer los requisitos a su propia legislación nacional. Primero, las empresas con más de 250 empleados deben cumplir sus obligaciones y, dos años más tarde, esto se aplicará también a las empresas que tengan entre 50 y 249 empleados.

Nuestros consejos

Se aconseja a las empresas que no esperen hasta el último momento para aplicar la Directiva y que empiecen a tomar acciones en una fase temprana

El Informe de denuncias de irregularidades 2021 muestra que muchas empresas ya han introducido canales de denuncia de forma proactiva y han recibido informes que les han permitido gestionar mejor el riesgo dentro de sus organizaciones.

Implantar sistemas de denuncia internos y establecer procesos

La libertad de elección del alertador a la hora de escoger el canal de denuncia es algo que las empresas deben tener especialmente en cuenta. De hecho, si el alertador no encuentra los canales de denuncia internos adecuados, puede terminar poniéndose en contacto con las autoridades competentes o incluso hacer su caso público, lo cual es el peor resultado para las empresas. Por lo tanto, es esencial que la empresa disponga de canales de denuncia internos adecuados y los conozca. Para que los empleados se sientan cómodos denunciando internamente, los canales deben estar disponibles 24 horas al día, 7 días a la semana, ofrecer anonimato, estar disponibles en los idiomas pertinentes, incorporar textos explicativos comprensibles e ir acompañados de una estrategia de comunicación interna eficaz.

 

No se pierda más información sobre la Directiva Whistleblowing

Los alertadores deben poder informar por escrito o verbalmente a través de uno o varios de estos canales:

– un canal de denuncias digital

– un buzón de correo electrónico

– correo postal

– una línea telefónica directa o un contestador automático

Por diversas razones, un canal de denuncias digital es el más adecuado tanto para pymes como para grandes empresas e instituciones públicas. Dado que todas las denuncias sobre infracciones y comportamientos poco éticos deben documentarse y se deben tomar medidas de seguimiento, cada una de ellas debe ser recuperable y fácil de gestionar por el personal de cumplimiento. Por lo tanto, el funcionamiento del canal de denuncia debe ser intuitivo y sencillo. Es especialmente importante que el alertador pueda estar 100% seguro de que su identidad está totalmente protegida. Por ello, las plataformas digitales de denuncia con un historial probado de seguridad y fiabilidad son especialmente recomendables para pequeñas y grandes empresas e instituciones públicas. Un sistema certificado de protección de datos y seguridad informática también garantiza que ni terceros ni proveedores tengan acceso a los datos sensibles. Asimismo, por razones de la legislación sobre protección de datos, resulta relevante el hecho de que los servidores de los proveedores que gestionan las denuncias estén situados en Alemania.

Las empresas internacionales también deben asegurarse de que las denuncias puedan presentarse independientemente del lugar y el momento para garantizar el cumplimiento de la Directiva de la UE y evitar así sanciones o multas.

Las organizaciones privadas y públicas deberían poner en marcha un canal de denuncias anónimo lo antes posible, ya que su aplicación puede tardar de varias semanas a varios meses, dependiendo del tamaño y la complejidad de la estructura organizativa.

En un plazo de siete días, la empresa debe confirmar al alertador que ha recibido la denuncia. En un plazo de tres meses, el alertador debe ser informado de las medidas adoptadas, del estado de la investigación interna y de sus resultados.

Algunos ejemplos de acciones de seguimiento:

«Remisión a otros canales o procedimientos en el caso de denuncias exclusivamente relacionadas con los derechos individuales del denunciante

§ Cierre del procedimiento por falta de pruebas u otros motivos

§ La apertura de investigaciones internas, posiblemente con indicación de los resultados y las posibles medidas para remediar el problema

§ Remisión a una autoridad competente para que continúe la investigación, siempre que esta información no afecte a las investigaciones internas o a la propia investigación y no perjudique los derechos de la persona afectada por la denuncia

El alertador debe ser informado del progreso y del resultado de la investigación a medida que ésta avanza.

No. El personal que gestiona las denuncias debe estar especialmente formado y familiarizado con las normas de protección de datos aplicables. Esto les permite gestionar los informes con eficacia e iniciar la comunicación con el alertador y las medidas de seguimiento adecuadas. Tanto los datos personales del alertador como de los acusados deben ser tratados de acuerdo con el RGPD.

Según la Directiva, no debería ser posible basarse en las obligaciones legales o contractuales de los individuos, como las cláusulas de lealtad en los contratos o los acuerdos de confidencialidad o no divulgación, para:

– Excluir la posibilidad de denuncia de irregularidades

– Negarse a proteger a los alertadores

– Imponerles sanciones por presentar información sobre infracciones o hacer una revelación cuando la transmisión de la información cubierta por dichas cláusulas y acuerdos sea necesaria para detectar la infracción

Si se cumplen estas condiciones, los alertadores no pueden ser considerados responsables en virtud del derecho civil, penal o administrativo ni respecto a su empleo.

Según la Directiva, «los alertadores (…) tampoco deben ser responsables cuando la obtención o el acceso a la información o los documentos en cuestión planteen un problema de responsabilidad civil, administrativa o laboral». Este sería el caso, por ejemplo, si los alertadores hubieran obtenido la información accediendo a los correos electrónicos o a los archivos de un miembro del personal que normalmente no utiliza en el curso de su trabajo, fotografiando los locales de la organización o entrando en salas a las que normalmente no tienen acceso.

Sin perjuicio de la protección prevista en el artículo 21, apartado 7, de la presente Directiva, cuando los denunciantes hayan cometido un delito, como la intrusión o la piratería informática, para obtener o acceder a la información o los documentos en cuestión, deben seguir siendo considerados penalmente responsables de conformidad con la legislación nacional aplicable.

Las denuncias sobre infracciones del Derecho comunitario se refieren a ámbitos como la contratación pública, los servicios financieros, el blanqueo de capitales, la seguridad de los productos y el transporte, la seguridad nuclear, la salud pública, la protección del medio ambiente y la protección de los consumidores y los datos.

Consiga su white paper ahora

Inscríbase ahora a nuestra newsletter sobre Compliance y esté al tanto de las últimas noticias sobre cumplimiento normativo, denuncia de irregularidades y ética empresarial. Una vez se haya registrado en nuestra newsletter sobre Compliance, recibirá el enlace para acceder al white paper por correo electrónico. Puede darse de baja de nuestra newsletter en cualquier momento.