La reciente Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, obliga la implantación de un sistema interno de información (canal de denuncias) a empresas y Ayuntamientos, si bien, dependiendo del tamaño o más bien de dos criterios, el plazo para implantarlo es distinto:
En primer lugar, las empresas de más de 250 trabajadores y Ayuntamientos de más de 10.000 habitantes, deberán hacerlo antes de 13 de junio de 2023.
Y, en segundo lugar, las empresas de más de 50 trabajadores y resto de Ayuntamientos (menos de 10.000 habitantes), deberán de hacerlo antes del 01 de diciembre de 2023.
Una vez conocido el plazo, sucintamente vamos a analizar en qué consisten algunas de las obligaciones del Sistema Interno de Información.
El artículo 8, contempla la figura del “Responsable del Sistema de Información” como “garante” de su funcionamiento, por lo que, tendrá responsabilidad si el mismo no funciona. Y aquí tenemos que advertir, que el incumplimiento puede ser de dos tipos, de forma o de fondo. De forma, si no se cumplen los requisitos técnicos como la posibilidad de que la denuncia sea anónima, las medidas de seguridad para su confidencialidad, es decir, que el sistema no permita, aunque el personal encargado lo intente, conocer los datos del denunciante. Otro requisito técnico fundamental es acreditar la trazabilidad de la denuncia, generando acuse de recibo antes de 7 días desde su recepción, un nº de expediente para su seguimiento, instrucción e investigación y, notificar la resolución del caso antes de 3 meses. Siendo esencial para todo ello, contar con un soporte técnico permanente. Y, de fondo, a mayores de los plazos indicados, para confeccionar un reglamento de funcionamiento, con las políticas de protección de datos e información al respecto pertinentes, así como, ser fundamental, un buen diagnóstico de la denuncia, si el contenido de la misma se trata de una infracción de la forma de trabajar de la empresa o Ayuntamiento, de su código ético, política de obsequios, etc…; si es más grave y pueda poner de manifiesto una infracción administrativa, vulneración de derechos de trabajadores/as, posibles responsabilidades civiles o incluso si los hechos manifestados pudieran ser constitutivos de delito. Por ello, es fundamental que la investigación, sea llevada a cabo por alguien con conocimientos jurídicos, para poder determinar las pruebas necesarias y oportunas, así como, la resolución del caso sea adecuada a los hechos denunciados.
Los tratamientos de datos personales que deriven de la aplicación de esta ley y del Sistema de Información Interno, se regirán por lo dispuesto en la normativa en protección de datos, RGPD y LOPDGDD, debiendo los Delegados/as de Protección de Datos, DPD, de empresas y Ayuntamientos, supervisar el tratamiento de datos del referido sistema.
Para velar por el cumplimiento del Sistema Interno de Información (SII), tanto de fondo como de forma, se creará y se encargará la Autoridad Independiente de Protección del Informante, A.A.I.., quien será competente para sancionar en caso de infracción, siendo estas multas desde 1.000 € hasta 300.000 € para personas físicas, y hasta 1.000.0000 € para empresas y Ayuntamientos, así como, amonestación pública, prohibición de recibir subvenciones o beneficios fiscales durante 4 años y/o prohibición de contratar con el sector público durante 3 años.
