Fuente de la imagen: mvc archivo propio |
El Sistema interno de información, en cualquiera de sus fórmulas de gestión, deberá permitir a todas las personas referidas en la ley comunicar información sobre las infracciones previstas; estar diseñado, establecido y gestionado de una forma segura, de modo que se garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, y de las actuaciones que se desarrollen en la gestión y tramitación de la misma, así como la protección de datos, impidiendo el acceso de personal no autorizado; permitir la presentación de comunicaciones por escrito o verbalmente, o de ambos modos; integrar los distintos canales internos de información que pudieran establecerse dentro de la entidad; garantizar que las comunicaciones presentadas puedan tratarse de manera efectiva dentro de la correspondiente entidad u organismo con el objetivo de que el primero en conocer la posible irregularidad sea la propia entidad u organismo; ser independientes y aparecer diferenciados respecto de los sistemas internos de información de otras entidades u organismos; contar con un responsable del sistema; contar con una política o estrategia que enuncie los principios generales en materia de Sistemas interno de información y defensa del informante y que sea debidamente publicitada en el seno de la entidad u organismo; contar con un procedimiento de gestión de las informaciones recibidas; y establecer las garantías para la protección de los informantes en el ámbito de la propia entidad u organismo.
La gestión del Sistema interno de información se podrá llevar a cabo dentro de la propia entidad u organismo o acudiendo a un tercero externo, en cuyo caso exigirá que este ofrezca garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto de las comunicaciones[4] y no podrá suponer un menoscabo de las garantías y requisitos que para dicho sistema establece la ley ni una atribución de la responsabilidad sobre el mismo en persona distinta del Responsable del Sistema. Este tercero externo que gestione el Sistema tendrá la consideración de encargado del tratamiento a efectos de la legislación sobre protección de datos personales[5]. Todo canal interno de información de que disponga una entidad para posibilitar la presentación de información respecto de las infracciones previstas estará integrado dentro del Sistema interno de información, debiendo permitir realizar comunicaciones por escrito o verbalmente, o de las dos formas. La información se podrá realizar bien por escrito, a través de correo postal o a través de cualquier medio electrónico habilitado al efecto, o verbalmente, por vía telefónica o a través de sistema de mensajería de voz. A solicitud del informante, también podrá presentarse mediante una reunión presencial dentro del plazo máximo de siete días. En su caso, se advertirá al informante de que la comunicación será grabada y se le informará del tratamiento de sus datos[6], informándole de forma clara y accesible, sobre los canales externos de información ante las autoridades competentes y, en su caso, ante las instituciones, órganos u organismos de la Unión Europea.
Al hacer la comunicación, el informante podrá indicar un domicilio, correo electrónico o lugar seguro a efectos de recibir las notificaciones. Las comunicaciones verbales, incluidas las realizadas a través de reunión presencial, telefónicamente o mediante sistema de mensajería de voz, previo consentimiento del informante, deberán documentarse mediante una grabación de la conversación en un formato seguro, duradero y accesible, o a través de una transcripción completa y exacta de la conversación realizada por el personal responsable de tratarla[7]. Estos canales internos de información permitirán incluso la presentación y posterior tramitación de comunicaciones anónimas y podrán estar habilitados por la entidad que los gestione para la recepción de cualesquiera otras comunicaciones o informaciones fuera del ámbito material de aplicación, si bien dichas comunicaciones y sus remitentes quedarán fuera del ámbito de protección dispensado por la misma. El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por la ley será el competente para la designación de la persona física responsable de la gestión de dicho sistema o «Responsable del Sistema», y de su destitución o cese. Si se optase por que el responsable del Sistema fuese un órgano colegiado, este deberá delegar en uno de sus miembros las facultades de gestión del Sistema interno de información y de tramitación de expedientes de investigación.
Tanto el nombramiento como el cese de la persona física individualmente designada, así como de las integrantes del órgano colegiado deberán ser notificados a la Autoridad Independiente de Protección del Informante, A.A.I., o, en su caso, a las autoridades u órganos competentes de las comunidades autónomas, en el ámbito de sus respectivas competencias, en el plazo de los diez días hábiles siguientes, especificando, en el caso de su cese, las razones que han justificado el mismo. El responsable del Sistema deberá desarrollar sus funciones de forma independiente y autónoma respecto del resto de los órganos de la entidad u organismo, no podrá recibir instrucciones de ningún tipo en su ejercicio, y deberá disponer de todos los medios personales y materiales necesarios para llevarlas a cabo. En el caso del sector privado, el responsable del Sistema persona física o la entidad en quien el órgano colegiado responsable haya delegado sus funciones, será un directivo de la entidad, que ejercerá su cargo con independencia del órgano de administración o de gobierno de la misma. Cuando la naturaleza o la dimensión de las actividades de la entidad no justifiquen o permitan la existencia de un directivo Responsable del Sistema, será posible el desempeño ordinario de las funciones del puesto o cargo con las de responsable del Sistema, tratando en todo caso de evitar posibles situaciones de conflicto de interés. En las entidades u organismos en que ya existiera una persona responsable de la función de cumplimiento normativo o de políticas de integridad, cualquiera que fuese su denominación, podrá ser esta la persona designada como responsable del Sistema, siempre que cumpla los requisitos establecidos en la ley.
El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por la ley aprobará el procedimiento de gestión de informaciones. El responsable del Sistema responderá de su tramitación diligente. El procedimiento establecerá las previsiones necesarias para que el Sistema interno de información y los canales internos de información existentes cumplan con los requisitos establecidos en la ley. En particular, el procedimiento responderá de la identificación del canal o canales internos de información a los que se asocian; inclusión de información clara y accesible sobre los canales externos de información ante las autoridades competentes y, en su caso, ante las instituciones, órganos u organismos de la Unión Europea; envío de acuse de recibo de la comunicación al informante, en el plazo de siete días naturales siguientes a su recepción, salvo que ello pueda poner en peligro la confidencialidad de la comunicación; determinación del plazo máximo para dar respuesta a las actuaciones de investigación, que no podrá ser superior a tres meses a contar desde la recepción de la comunicación o, si no se remitió un acuse de recibo al informante, a tres meses a partir del vencimiento del plazo de siete días después de efectuarse la comunicación, salvo casos de especial complejidad que requieran una ampliación del plazo, en cuyo caso, este podrá extenderse hasta un máximo de otros tres meses adicionales. También, el procedimiento debe responder a la previsión de la posibilidad de mantener la comunicación con el informante y, si se considera necesario, de solicitar a la persona informante información adicional; establecimiento del derecho de la persona afectada a que se le informe de las acciones u omisiones que se le atribuyen, y a ser oída en cualquier momento.
Dicha comunicación tendrá lugar en el tiempo y forma que se considere adecuado para garantizar el buen fin de la investigación; garantía de la confidencialidad cuando la comunicación sea remitida por canales de denuncia que no sean los establecidos o a miembros del personal no responsable de su tratamiento, al que se habrá formado en esta materia y advertido de la tipificación como infracción muy grave de su quebranto y, asimismo, el establecimiento de la obligación del receptor de la comunicación de remitirla inmediatamente al Responsable del Sistema; exigencia del respeto a la presunción de inocencia y al honor de las personas afectadas; respeto de las disposiciones sobre protección de datos personales y remisión de la información al Ministerio Fiscal con carácter inmediato cuando los hechos pudieran ser indiciariamente constitutivos de delito. En el caso de que los hechos afecten a los intereses financieros de la Unión Europea, se remitirá a la Fiscalía Europea. En relación con el sistema interno de información en el sector privado, estarán obligadas a disponer un Sistema interno de información en los términos previstos en la ley las personas físicas o jurídicas del sector privado que tengan contratados cincuenta o más trabajadores; las personas jurídicas del sector privado que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente[8]; los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos[9].
En el caso de un grupo de empresas[10], la sociedad dominante aprobará una política general relativa al Sistema interno de información y a la defensa del informante, y asegurará la aplicación de sus principios en todas las entidades que lo integran, sin perjuicio de la autonomía e independencia de cada sociedad, subgrupo o conjunto de sociedades integrantes que, en su caso, pueda establecer el respectivo sistema de gobierno corporativo o de gobernanza del grupo, y de las modificaciones o adaptaciones que resulten necesarias para el cumplimiento de la normativa aplicable en cada caso. El responsable del Sistema podrá ser uno para todo el grupo, o bien uno para cada sociedad integrante del mismo, subgrupo o conjunto de sociedades[11]. Por su parte, el Sistema interno de información podrá ser uno para todo el grupo, siendo admisible el intercambio de información entre los diferentes responsables del Sistema del grupo, si los hubiera, para la adecuada coordinación y el mejor desempeño de sus funciones. Las personas jurídicas en el sector privado que tengan entre cincuenta y doscientos cuarenta y nueve trabajadores y que así lo decidan, podrán compartir entre sí el Sistema interno de información y los recursos destinados a la gestión y tramitación de las comunicaciones, tanto si la gestión se lleva a cabo por cualquiera de ellas como si se ha externalizado, respetándose en todo caso las garantías previstas en la ley. En cuanto al sistema interno de información en el sector público, todas las entidades que integran el sector público estarán obligadas a disponer de un Sistema interno de información en los términos previstos en la ley.
Se entienden comprendidos en el sector público la Administración General del Estado, las Administraciones de las comunidades autónomas, ciudades con Estatuto de Autonomía, las entidades que integran la Administración Local, los organismos y entidades públicas vinculadas o dependientes de alguna Administración pública, aquellas otras asociaciones y corporaciones en las que participen Administraciones y organismos públicos, las autoridades administrativas independientes, el Banco de España, las entidades gestoras y servicios comunes de la Seguridad Social, las universidades públicas, las corporaciones de Derecho público, las fundaciones del sector público[12] y las sociedades mercantiles en cuyo capital social la participación, directa o indirecta, de entidades públicas sea superior al cincuenta por ciento, o en los casos en que, sin superar ese porcentaje, se encuentre respecto de las referidas entidades en el supuesto previsto en la normativa del Mercado de Valores[13]. También, los órganos constitucionales, los de relevancia constitucional e instituciones autonómicas análogas a los anteriores. En caso de organismos públicos con funciones de comprobación o investigación de incumplimientos sujetos a la ley, se distinguirá, al menos, entre un canal interno referente a los propios incumplimientos del organismo o su personal, y el canal externo referente a las comunicaciones que reciba de los incumplimientos de terceros cuya investigación corresponda a sus competencias. En caso de que un organismo público con competencias en materia de investigación reciba informaciones referentes a los incumplimientos de terceros en el plazo de duración establecido, se resolverá si procede o no iniciar una comprobación o investigación del sujeto afectado dando traslado de ello al informante. Una vez ultimado el procedimiento de comprobación o investigación, se comunicará al informante el resultado de la comprobación.
Si los datos e informes que figuran en el expediente tienen carácter reservado o confidencial de acuerdo con alguna disposición con rango de ley, el contenido del resultado que se traslade al informante tendrá carácter genérico. Las decisiones adoptadas por los organismos públicos con funciones de comprobación o investigación en relación con las informaciones no serán recurribles en vía administrativa ni en vía contencioso-administrativa. Los municipios de menos de 10.000 habitantes, entre sí o con cualesquiera otras Administraciones públicas que se ubiquen dentro del territorio de la comunidad autónoma, podrán compartir el Sistema interno de información y los recursos destinados a las investigaciones y las tramitaciones. Asimismo, las entidades pertenecientes al sector público con personalidad jurídica propia vinculadas o dependientes de órganos de las Administraciones territoriales, y que cuenten con menos de cincuenta trabajadores, podrán compartir con la Administración de adscripción el Sistema interno de información y los recursos destinados a las investigaciones y las tramitaciones. En todo caso, deberá garantizarse que los sistemas resulten independientes entre sí y los canales aparezcan diferenciados respecto del resto de entidades u organismos, de modo que no se genere confusión a los ciudadanos. La gestión del Sistema interno de información por un tercero externo en el ámbito de la Administración General del Estado, las Administraciones autonómicas y ciudades con Estatuto de Autonomía y las Entidades que integran la Administración Local solo podrá acordarse en aquellos casos en que se acredite insuficiencia de medios propios[14]. Esta gestión comprenderá únicamente el procedimiento para la recepción de las informaciones sobre infracciones y, en todo caso, tendrá carácter exclusivamente instrumental. Fuente de la información: BOE. Fuente de la imagen: mvc archivo propio.
_____________________________
[1] Velasco Carretero, Manuel. Protección de los Denunciantes. Sitio Compliance. 2023. Visitado el 26/02/2023.
[2] Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. BOE núm. 44, 21/02/2023.
[3] Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.
[4] La existencia de corresponsables del tratamiento de datos personales requiere la previa suscripción del acuerdo regulado en el artículo 26 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
[5] El tratamiento se regirá por el acto o contrato al que se refiere el artículo 28.3 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
[6] De acuerdo a lo que establece el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
[7] Sin perjuicio de los derechos que le corresponden de acuerdo con la normativa sobre protección de datos, se ofrecerá al informante la oportunidad de comprobar, rectificar y aceptar mediante su firma la transcripción de la conversación.
[8] A que se refieren las partes I.B y II del anexo de la Directiva (UE) 2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, deberán disponer de un Sistema interno de información que se regulará por su normativa específica con independencia del número de trabajadores con que cuenten. En estos casos, la ley se aplicará en lo no regulado por su normativa específica. Se considerarán incluidas las personas jurídicas que, pese a no tener su domicilio en territorio nacional, desarrollen en España actividades a través de sucursales o agentes o mediante prestación de servicios sin establecimiento permanente.
[9] Las personas jurídicas del sector privado que no estén vinculadas por la obligación impuesta podrán establecer su propio Sistema interno de información, que deberá cumplir, en todo caso, los requisitos previstos en la ley.
[10] Conforme al artículo 42 del Código de Comercio.
[11] En los términos que se establezcan por la citada política.
[12] A efectos de la ley, se entenderá por fundaciones del sector público aquellas que reúnan alguno de los siguientes requisitos: que se constituyan de forma inicial, con una aportación mayoritaria, directa o indirecta, de una o varias entidades integradas en el sector público, o bien reciban dicha aportación con posterioridad a su constitución; que el patrimonio de la fundación esté integrado en más de un cincuenta por ciento por bienes o derechos aportados o cedidos por sujetos integrantes del sector público con carácter permanente; que la mayoría de derechos de voto en su patronato corresponda a representantes del sector público.
[13] Artículo 5 del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
[14] Conforme a lo dispuesto en el artículo 116 apartado 4 letra f) de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.