La Ley 2/2023 reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, por la que se transpone la Directiva 2019/1937 de la Unión Europea obliga a empresas y entidades a habilitar un canal de denuncias o canal interno de información. El objetivo es que los empleados, o cualquier tercero que colabore con ellas, pueda formular denuncias de forma anónima. También para informar a la empresa sobre comportamientos alejados de la ética o presuntamente ilegales. Respondemos a continuación a las preguntas más frecuentes que suelen tener las empresas en relación a este asunto.
¿Qué es un canal de denuncias?
Un canal de denuncias interno, o canal de información, consiste en un sistema de alertas. Este avisa a la unidad responsable de cumplimiento normativo sobre presuntas malas prácticas en la gestión de una empresa u organización. El objetivo es identificar dichas presuntas malas prácticas que puedan suponer un riesgo para la corporación y poder así combatirlas. En dicho canal, los denunciantes transmiten la información a través de un sistema seguro que debe evitar filtraciones que dañen la reputación de la empresa.
La prioridad de estos canales es proteger a las personas que denuncian, en especial, a las que trabajan en la organización o están relacionadas con esta. La herramienta tiene que permitir realizar el aviso de forma completamente confidencial y, en su caso, anónima, si el informante (denunciante) así lo desea. El canal busca agilizar la comunicación e implicación de las contrapartes o grupos de interés con que se relacionan las organizaciones para luchar contra indicios de corrupciones e irregularidades de toda índole, con foco en las que puedan implicar responsabilidad penal. Algunas de las situaciones que se podrían denunciar por esta vía son:
- posibles conductas y comportamientos considerados ilegales con el desempeño del trabajo,
- presunta gestión lucrativa de recursos de la empresa,
- situaciones de discriminación o abuso sexual,
- prácticas de corrupción, robos, fraudes, etc.
¿Cuál es la normativa del canal de denuncias?
La normativa que aborda todo lo referente a canal de denuncias es la Ley 2/2023 reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Esta se aprobó el 16 de febrero de 2023 y transpone la Directiva 2019/1937 de la Unión Europea. Esta norma tiene como objeto proteger a las personas que, en un contexto laboral o profesional, detecten acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave y las comunique mediante los mecanismos regulados en la misma. Además, la ley exige que haya un directivo responsable del sistema de gestión y establece que la responsabilidad legal recae sobre el órgano de gobierno.
El canal de denuncias tiene correlación con la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. En ella se señala como infracción grave (artículo 52.1 s)) el hecho de no tener un canal interno conforme a los requisitos previstos en la Ley.
En su correlación de la Ley de Privacidad y el Código Penal, se puede tipificar también como infracción muy grave si el canal sufriera una brecha de seguridad que exponga datos personales o bien no cuente con un sistema interno de información, se adopte cualquier tipo de represalia contra los informantes o se comunique públicamente información a sabiendas de su falsedad. Las sanciones asociadas podrían llegar hasta 20 ME o el 4% de la facturación anual de la entidad.
Además de estas sanciones, si surge un problema de corrupción, y la empresa no dispone de un canal de denuncias, se le puede derivar responsabilidad penal. Esto se da cuando la empresa no toma las precauciones necesarias. Por ello, disponer del canal de denuncias es uno de los seis factores atenuantes o eximentes contemplados en el Código penal español.
Requisitos del canal de denuncias
Además de ser eficaz seguro y de garantizar la transparencia en su funcionamiento, todo canal de comunicación debe cumplir con cinco requisitos fundamentales:
- Asegurar el anonimato del informante y garantizar la confidencialidad de sus datos.
- Contar con una persona responsable de la gestión del mismo.
- Enviar el acuse de recibo al informante (denunciante) en un plazo máximo de siete días naturales desde la recepción de la denuncia.
- Responder a la denuncia en un plazo máximo de tres meses a partir del acuse de recibo o, del vencimiento del plazo de siete días después de hacerse la denuncia. Esto salvo casos de especial complejidad que requieran una ampliación del plazo. En este caso, podrá extenderse hasta un máximo de otros tres meses adicionales.
- Permitir el acceso externo desde fuera de la propia red corporativa. No solo los trabajadores internos tienen derecho a denunciar. El canal debe ofrecer la posibilidad de ser utilizado por cualquier contraparte interesada para la empresa. La recomendación es ampliarse esta cobertura una vez que se han consolidado y verificado el adecuado funcionamiento de los cuatro puntos anteriores.
El canal de denuncias debe además obedecer unos plazos y calendarios en base a las posibles informaciones o incidencias que se comuniquen a través de los canales.
Obligatoriedad del canal de denuncias en España
Los actores que deben contar con canal de denuncias son:
- Las personas físicas o jurídicas del sector privado que tengan contratados 50 o más trabajadores
- Las empresas y organismos públicos con más 250 empleados y entes locales que presten servicio a mas de 10.000 ciudadanos.
- Personas jurídicas del sector privado que entren en el ámbito de aplicación de los actos de la Unión Europea, en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente con Independencia del numero de trabajadores con el que cuenten. Entre otros: entidades de crédito, aseguradoras y corredores que operen en el ramo de vida, empresas de servicios de inversión, sociedades de capital-riesgo, sociedades de garantía recíproca, entidades de dinero electrónico, cambio de moneda, servicios postales con respecto a actividades de giro o transferencia, intermediación en la concesión de préstamos o créditos, promotores y agencias inmobiliarias, auditores de cuentas, contables y asesores fiscales, notarios y registradores, abogados y procuradores, casinos, joyerías, objetos de arte y antigüedades, loterías y juegos de azar, etc. Se considerarán incluidas en el párrafo anterior las personas jurídicas que, pese a no tener su domicilio en territorio nacional, desarrollen en España actividades a través de sucursales o agentes o mediante prestación de servicios sin establecimiento permanente.
- Las empresas que tengan un plan de Compliance, independientemente de su número de trabajadores
- Los partidos políticos, los sindicatos, las patronales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos.
En el caso de un grupo de empresas, conforme al articulo 42 del Código de Comercio, la sociedad dominante aprobará una política general relativa al sistema interno de información a que se refiere el artículo 7 y la defensa del informante.
Además, asegurará la aplicación de sus principios en todas las entidades que lo integran, sin perjuicio de la autonomía e independencia de cada soledad, subgrupo o conjunto de sociedades integrantes que, en su caso, pueda establecer el respectivo sistema de gobierno corporativo o de gobernanza del grupo, y de las modificaciones o adaptaciones que resulten necesarias para el cumplimiento de la normativa aplicable en cada caso.
Además, todas las entidades que integran el sector público estarán obligadas a disponer de un sistema interno de información en los términos previstos en esta ley.
Multas y sanciones
La Ley 2/2023, de 20 de febrero, establece sanciones según la gravedad de la infracción y distingue entre persona física o jurídica. En concreto, cuando son personas jurídicas, las sanciones fijadas son las siguientes:
Leves: hasta 100.000 €. Cuando la remisión de información se haga de forma incompleta, de manera deliberada por parte del Responsable del Sistema a la Autoridad o fuera del plazo concedido para ello; o si no se colabora con la investigación de informaciones.
Graves: entre 100.001 y 600.000 €. En el caso de incumplimiento de la obligación de adoptar las medidas para garantizar la confidencialidad y secreto de las informaciones.
Muy graves: entre 600.001 y 1.000.000 €. Cuando se produce incumplimiento de la obligación de disponer de un sistema interno de información en los términos exigidos en la ley; se comunica o revela públicamente información a sabiendas de su falsedad; se vulnera las garantías de confidencialidad y anonimato; se adoptan represalias derivada de la comunicación frente a los informantes o las demás personas incluidas en el ámbito de protección; o se vulnera el deber de mantener secreto sobre cualquier aspecto relacionado con la información.
Además de lo anterior, en el caso de infracciones muy graves, la Autoridad Independiente de protección al informante (desde el momento en que haya sido finalmente constituida) podrá aplicar otras adicionales como amonestación pública, prohibición de obtener subvenciones u otros beneficios fiscales durante un plazo máximo de cuatro años o prohibición de contratar con el sector público durante un plazo máximo de tres años.
Fechas a tener en cuenta en la implementación
Es importante tener presentes las siguientes fechas para organizar la implementación y evitar sanciones de cualquier tipo:
- 13 de marzo de 2023: entra en vigor la nueva ley que obliga a empresas de 50 o más empleados, y otros actores, a contar con esta herramienta.
- 13 de junio de 2023: finalizó el periodo de adaptación para grandes empresas. Se comienza a vigilar el cumplimiento.
- 1 de diciembre de 2023: finaliza el periodo de adaptación para medianas empresas (de 50 o más a 249 trabajadores).