Ley de Protección de Informantes
Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Publicada en el BOE el 21 de febrero de 2023 y con entrada en vigor el 13 de marzo de 2023.
Su objetivo es obligar a las empresas y a las administraciones públicas a contar con un canal ético o de denuncias, denominado “sistema interno de información”. La Ley establece las normas mínimas que deben cumplir estos canales de información.
Asimismo, la Ley pretende proteger a los ciudadanos y ciudadanas que informan sobre vulneraciones del ordenamiento jurídico en el marco de una relación laboral o profesional.
Contenido a destacar
Ámbito de aplicación:
La presente Ley protege a las personas físicas que informen, a través de alguno de los procedimientos previstos en ella, de:
- Infracciones del Derecho de la Unión Europea
- Infracciones penales y administrativas graves y muy graves del ordenamiento jurídico español. Se considera infracción grave o muy grave si implica un quebranto económico para la Hacienda Pública y para la Seguridad Social.
- Se excluyen del ámbito de aplicación material los supuestos que se rigen por su normativa específica.
Se protege a las personas físicas informantes que trabajen en el sector público o privado y que hayan obtenido información sobre infracciones en un contexto laboral o profesional. Comprende a empleados públicos, trabajadores por cuenta ajena, autónomos, accionistas, miembros del órgano de supervisión de la empresa (consejo administración, junta directiva), subcontratistas, becarios, etc. También se aplicarán las medidas de protección a quienes asistan a los informantes o quienes estén relacionados con él y puedan sufrir represalias.
Sistema interno de información:
El órgano de gobierno de la entidad es el responsable de implantar un Sistema interno de información, previa consulta con la representación legal de las personas trabajadoras.
El Sistema interno de información es el cauce preferente para informar sobre las acciones u omisiones que constituyan una infracción según esta ley
El Sistema interno de información deberá, entre otros requisitos:
- Permitir comunicar la información por escrito o verbalmente.
- Estar diseñado y gestionado de forma segura.
- Integrar los distintos canales internos de información de la entidad.
- Contar con un procedimiento de gestión de las informaciones recibidas.
- Establecer garantías de protección de los informantes y de las personas afectadas.
- Ser respetuoso con la normativa sobre protección de datos personales.
El órgano de gobierno de la entidad es el competente para designar a una persona física responsable de la gestión del sistema. El nombramiento o cese de la persona designada debe notificarse a la Autoridad Independiente de Protección del Informante (AAI), en un plazo de 10 días hábiles.
Cada entidad debe aprobar un Procedimiento de gestión de informaciones. La Ley establece el contenido mínimo que el procedimiento debe cumplir (identificación del canal, envío acuse de recibo, plazo máximo de tres meses para dar respuesta, derecho de información, etc.).
Sistema interno de información en el sector privado:
En el ámbito privado, deben contar con un Sistema interno de información:
- Todas las empresas (personas físicas o jurídicas) que tengan contratados 50 o más trabajadores.
- Las empresas dedicadas a servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente.
- Los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos.
Sistema interno de información en el sector público:
En el sector público, deben contar con un Sistema interno de información todas las entidades que lo integran. Se permite que, por cuestiones de eficiencia, los municipios de menos de 10.000 habitantes lo compartan entre sí o con cualesquiera otras administraciones públicas que se ubiquen dentro del territorio de la comunidad autónoma.
Canal externo de información de la Autoridad Independiente de Protección del Informante (AAI)
Se autoriza la creación de la Autoridad Independiente de Protección del Informante, AAI.
Toda persona física podrá informar ante la Autoridad Independiente de Protección del Informante o ante las autoridades u órganos autonómicos correspondientes, de la comisión de cualesquiera acciones u omisiones incluidas en el ámbito de aplicación de esta ley, ya sea directamente o previa comunicación a través del correspondiente canal interno.
Publicidad. Protección de datos personales. Medidas de protección.
Es necesario dar información clara y accesible sobre el canal interno de información implantado (en la página de inicio de la web de la entidad).
Se regula expresamente el tratamiento de datos personales en el Sistema interno de información.
Deben implantarse medidas técnicas y organizativas para preservar la identidad del informante y la confidencialidad de los datos de las personas afectadas y de terceros. La identidad sólo podrá ser comunicada a la Autoridad Judicial, Ministerio Fiscal o autoridad administrativa competente en una investigación penal, disciplinaria o sancionadora.
Se prohíben expresamente actos de represalia, incluidas las amenazas de represalia y las tentativas de represalia contra las personas informantes.
Se consideran represalias: suspensión del contrato de trabajo, despido, medidas disciplinarias, denegación de ascensos, daños de carácter reputacional, evaluaciones negativas respecto al desempeño laboral, denegación de formación, etc.
Los actos administrativos que pretendan impedir o dificultar la presentación de comunicaciones y revelaciones, y los que constituyan represalia serán nulos de pleno derecho.
Infracciones y sanciones para las empresas obligadas.
La norma regula un sistema de infracciones y sanciones. La potestad sancionadora corresponde a la AAI y a las entidades competentes de las comunidades autónomas.
Sanciones si la infracción la comete una persona jurídica: multas con una cuantía de:
- hasta 100.000 euros en caso de infracciones leves,
- entre 100.001 y 600.000 euros en caso de infracciones graves y
- entre 600.001 y 1.000.000 de euros en caso de infracciones muy graves.
Además la AAI puede acordar:
- La amonestación pública.
- La prohibición de obtener subvenciones u otros beneficios fiscales durante un plazo máximo de cuatro años.
- La prohibición de contratar con el sector público durante un plazo máximo de tres años.
El propio hecho de no contar con un canal de denuncias será considerado como infracción grave, que lleva aparejada una multa de entre 600.001 a 1.000.000 de euros (para personas jurídicas).
Además, se prevé expresamente la extensión de las medidas de protección (prohibición y protección frente a represalias, medias de apoyo, etc.) a las comunicaciones que hayan tenido lugar desde el 16 de diciembre de 2019 (fecha de entrada en vigor de la Directiva (UE) 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión).
Plazo máximo para establecer Sistemas internos de información
En general, el sistema interno o canal de denuncias debe estar implantado desde los 3 meses siguientes a la entrada en vigor de la Ley.
Excepción: para las empresas con 249 trabajadores o menos y los municipios de menos de 10.000 habitantes, el plazo se extiende hasta el 1 de diciembre de 2023.
Descarga el informe aquí
La presente publicación contiene información de carácter general, sin que constituya opinión profesional ni asesoramiento jurídico. Todos los derechos reservados. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación, total y parcial, sin autorización escrita de Umivale Activa.