"Estarán obligadas a configurar un sistema interno de información, las empresas con más de 50 trabajadores"
La reforma del Código Penal por Ley Orgánica 1/2015, de 30 de marzo supuso una mejora técnica en la regulación de la responsabilidad penal de las personas jurídicas, introducida en nuestro ordenamiento jurídico por la Ley Orgánica 5/2010, de 22 de junio, con la finalidad de concretar la obligación de control de la comisión de delitos en el seno de la empresa, cuyo quebrantamiento permite fundamentar su responsabilidad penal e introdujo la necesidad de crear un sistema de comunicación o canal de denuncias, imponiendo la obligación de informar de posibles riesgos e incumplimientos al encargado de vigilar y hacer cumplir el modelo de prevención de delitos adoptado. (Art. 31 bis, 5, 4º del Código Penal).
A medida que las empresas (personas jurídicas, fundamentalmente) han ido adquiriendo “cultura de cumplimiento”, se ha ido ampliando el ámbito de dicha responsabilidad más allá del ámbito penal (civil, administrativo, laboral) y matizando el régimen del canal de denuncias.
El 23 de octubre de 2019 se dictó la Directiva (UE) 2019/1937, del Parlamento Europeo y del Consejo, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, con la doble finalidad de proteger a los informantes (whistleblowers) y establecer las normas mínimas de los canales de comunicación, que debió ser adoptada por España antes del 17 de diciembre de 2021 (excepto entidades privadas que tengan de 50 a 249 trabajadores que tienen de plazo hasta el 17 de diciembre de 2023). Aunque aún no se ha incorporado al derecho interno, exige implantar unas medidas mínimas de control que la futura norma reguladora habrá de incluir.
Para el cumplimiento de la nueva normativa, las empresas como sujetos obligados por la misma, habrán de tenerse en cuenta los siguientes aspectos:
1.- Implantación de un canal de comunicaciones (denuncias) o adaptación del existente
Estarán obligadas a configurar un sistema interno de información, las empresas con más de 50 trabajadores (las de menor número podrán ser eximidas de esta obligación por la futura norma interna) y las que tengan entre 50 y 249 trabajadores podrán compartir el canal con otras entidades.
El canal ha de disponer de un régimen que contemple los aspectos de recepción de las comunicaciones (de forma anónima o con reserva de la identidad del informante), de la forma de comunicación (puede ser escrita o verbal) y de fases de resolución (admisión; fase instructora y resolución).
2.- Denunciantes
Los usuarios del canal de denuncias serán:
Los trabajadores por cuenta ajena; trabajadores autónomos; accionistas, partícipes y personas del órgano de administración, dirección o supervisión de la empresa; personas que trabajen para o bajo la supervisión y dirección de contratistas, subcontratistas y proveedores y éstos mismos en tanto que personas físicas; así como los representantes legales de las personas trabajadoras en el ejercicio de sus funciones de asesoramiento y apoyo al informante.
A los asesores de los denunciantes y otras personas, físicas o jurídicas, relacionadas con el informante, tales como familiares u entidades a las que pertenezca el informante.
3.- Denunciantes
Toda comunicación a través del canal de comunicaciones ha de ser confidencial confidencialidad. Solo podrá tener acceso a los datos la persona que, internamente, se haya designado como Director de Cumplimiento o Compliance Officer para realizar la supervisión, la comunicación con el informante y seguimiento de las denuncias. No obstante, la Directiva 2019/1937 contempla la posibilidad de que se pueda externalizar el servicio.
4.- Indemnidad del informante
Los informantes deberán contar con los siguientes derechos:
Nulidad de cláusulas contractuales que impidan o pretendan limitar el derecho o la capacidad de informar.
Protección ante represalias. Los informantes que utilizan los cauces internos y externos contarán con un régimen específico de protección frente a las represalias.
Esta protección no se extiende a aquellas personas que hayan difundido de manera pública tales informaciones, si bien hay situaciones en que sí resultará conveniente ayudar a estas personas (por ejemplo, cuando los caces internos y externos no han funcionado o cuando se advierta una amenaza inminente para el interés general o riesgo de daños irreversibles, como un peligro para la integridad física de una persona).
5.- Reserva de datos personales
El tratamiento de los datos personales deberá realizarse al amparo del Reglamento (UE) 2016/679, de Protección de Datos y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
6.- Sanciones
El régimen de sanciones incluye a las personas jurídicas o físicas que incumplan el principio de confidencialidad, a aquellas que intenten impedir la denuncia o adopten represalias y también a los informantes que obren de mala fe, transmitiendo información no verídica.
El importe de las sanciones puede llegar alcanzar el millón de euros para las personas jurídicas y de trescientos mil euros para las personas físicas en caso de infracciones muy graves (represalias, vulneración del deber de secreto, limitación de derechos y garantías…), además se podrá acordar la amonestación pública, prohibición de obtener subvenciones (plazo máx. 4 años) y prohibición de contratar con el sector público (plazo máx. 3 años).
FUENTE: ECONOMIST & JURIST