El 21 de febrero se publicó en el Boletín Oficial del Estado (BOE) la Ley 2/2023, que prevé la protección de quienes denuncian infracciones y lucha contra la corrupción. El texto entró en vigor el 13 de marzo y será obligatorio para las organizaciones con más de 250 empleados a partir de junio. En el caso de medianas empresas con entre 50 y 249 empleados, tienen hasta el 1 de diciembre de 2023 para implementar los canales de denuncia anteriores.
Como ya hemos comentado, esta norma fue impulsada por la Directiva de Denuncias y supuso un gran reto para los departamentos de Cumplimiento y Protección de Datos, que tuvieron que revisar y reformular sus procedimientos internos para cumplir con la Ley 2/2023.
Desde mi punto de vista, creo que la parte más relevante de la ley, y la parte que las empresas deben preocuparse por implementar adecuadamente el canal de denuncias, es el establecimiento de una agencia administrativa o gubernamental, ya que será responsable de la persona encargada de implementar el sistema y nombrar un Jefe de Sistemas Internos de Información. La segunda persona deberá ejercer su cargo de forma independiente y en todo caso procurar evitar posibles situaciones de conflicto de interés. Cierto, la norma también habla de la autonomía de este responsable, pero no debemos olvidar que debe rendir cuentas a la organización, cosa que no tiene por qué serlo si es verdaderamente independiente.
Asimismo, las empresas deben asegurarse de que el canal sea de fácil acceso, ya sea interno o externo, con instrucciones claras sobre cómo utilizarlo. Asimismo, deberán garantizar la confidencialidad de las comunicaciones enviadas a través de los canales anteriores, preservar la identidad del denunciante y del afectado, permitir que las comunicaciones sean escritas, verbales o ambas y, en su caso, anónimas. En última instancia, también tienen que crear un sistema de gestión independiente que pueda manejar la información con cuidado dentro de los plazos y comunicaciones exigidos por la ley.
En cuanto a los plazos, las organizaciones deberán asegurarse de que el acuse de recibo de las comunicaciones se realice en un plazo máximo de 7 días. El plazo para completar las acciones de investigación y responder a los denunciantes (si corresponde) no excederá de tres meses después de que la información haya sido ingresada al Registro.
Tampoco está claro si los legisladores, al limitar la investigación a tres meses, o seis meses por razones complejas, no incluyeron la posibilidad de suspender o extender ese período. En la práctica, ya sea por la necesidad de recabar pruebas, la correcta documentación que debe presentar el denunciante o las dificultades para entrevistar al denunciante, estos procesos suelen prolongarse, en ocasiones más de un año, y el departamento forense competente conoce bien este. investigación compleja.
Esto puede afectar la validez de la investigación y de sí misma. De hecho, expertos como el juez de la Corte Suprema Manuel Marchena han expresado su preocupación porque el código no establece procedimientos o disposiciones de investigación interna. Actualmente, nuestro ordenamiento jurídico está aislado.
Especial mención merecen también los regímenes específicos en materia de protección de datos personales. La Ley N° 2/2023 modificó el artículo 24 de la Ley Orgánica N° 3/2018, de 5 de diciembre, de protección de datos personales y salvaguarda de los derechos digitales, en adelante el tratamiento de datos personales en los sistemas de información se regirá por la “Información Ley de Protección en sí, y no en virtud de la Ley Orgánica 3/2018.
Finalmente, en cuanto al régimen sancionador, la ley autoriza la creación de un organismo independiente para la protección de los denunciantes, que, junto con el mismo nombre a nivel autonómico, será el órgano sancionador facultado para sancionar a los denunciantes. . En este sentido, cabe señalar que el Reglamento contiene un régimen de sanciones preciso en el que se detallan las posibles infracciones, incluyendo muy graves, graves y leves, con el fin de proteger a los denunciantes y evitar represalias.
Así, en función del delito cometido, se pueden imponer sanciones que van desde los 100.000€ hasta el 1.000.000€ para las personas jurídicas. Para física, las tasas oscilan entre 1.001 € y 300.000 €. Por ello, es fundamental disponer de un sistema de información interno eficaz que garantice la protección de los denunciantes, así como la gestión, tratamiento y comunicación previstos en la citada Ley 2/2023. En resumen, el Reglamento establece un marco de protección para los denunciantes y su entorno, brinda protección legal a los denunciantes y prohíbe explícitamente que las organizaciones ataquen a los denunciantes.
alba rodriguezAbogado del Círculo de Madrid
