Directiva Whistleblowing. Una necesaria trasposición al ordenamiento jurídico español.
Con la transposición de esta norma, España dispondrá de un adecuado instrumento que permita amparar, ante posibles represalias, a los denunciantes de infracciones o irregularidades, fijando los requisitos y características de los canales de denuncias
Pese a que las prioridades legislativas parecen ser otras, todo indica que a falta de su previsible ratificación por el Senado ya está todo listo para que por fin se materialice la transposición de la conocida como Directiva Whistleblowing de la UE (2019/1937), relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, publicada con fecha de 26 de noviembre de 2019.
El texto aprobado por el Congreso el pasado 23 de septiembre, contiene algunas modificaciones sobre el anteproyecto de ley, pero estas son mínimas y sin gran relevancia. Así, podemos indicar las siguientes:
Quedan como denunciables las acciones y omisiones constitutivas de infracción penal o administrativa, grave o muy grave.
Las muy graves deberán ser de carácter doloso, e incluye también como infracción muy grave la no existencia de un sistema interno de información.
A solicitud del informante, también podrá presentarse denuncia mediante una reunión presencial dentro del plazo máximo de siete días.
Para organizaciones con menos de 250 empleados, el plazo máximo para definir el sistema de información y la adaptación de los existentes pasa al 1 de diciembre de 2023.
El órgano de administración o de gobierno de cada entidad u organismo obligado por esta ley será el responsable de la implantación del Sistema interno de información, previa consulta con la representación legal de los empleados y tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales.
Si hubiera corresponsables del tratamiento de datos personales por la gestión del sistema por un tercero externo, se requiere la previa suscripción del acuerdo de corresponsabilidad regulado en el artículo 26 del RGPD[1].
Prohíbe la recopilación de datos personales que no sean claramente pertinentes para tratar una información específica y si fueran recopilados por accidente, se deberán eliminar sin dilaciones
Limita el tratamiento de datos personales basados en el artículo 6.1.c) del RGPD a los sistemas de comunicación internos.
Permite el tratamiento de las categorías especiales de datos personales por razones de un interés público esencial, de acuerdo con el artículo 9.2.g) del citado reglamento.
Solamente se permite el tratamiento de datos personales que sean necesarios para el conocimiento e investigación de las acciones u omisiones denunciables, y se deberán suprimir de inmediato.
Si la información contuviera datos personales incluidos en las categorías especiales, se han de suprimir sin registrarlos ni tratarlos.
También instruye la inmediata supresión de la información que no sea veraz desde el momento en que se tenga constancia de esa circunstancia.
Obliga a avisar al informante antes de revelar su identidad a la autoridad competente en el marco de una investigación, salvo que dicha información pudiera comprometer la investigación o el procedimiento judicial.
También se considerarán como represalia los siguientes:
La no conversión de un contrato de trabajo temporal en uno indefinido, si el trabajador tuviera expectativas legítimas de que se le ofrecería un trabajo indefinido;
La denegación de formación, y la discriminación, o trato desfavorable o injusto.
El plazo para solicitar protección de la autoridad competente se amplía de uno a dos años.
Mención especial merece, por la cuantía de las mismas, el apartado de las sanciones
Así para las infracciones leves fija un mínimo de 1.000 euros de multa para las personas físicas.
El mínimo de la multa para los responsables de infracciones graves se fija en 10.000 euros, y la posibilidad de dar publicidad en el BOE de las sanciones superiores a 600.000 euros a entidades jurídicas tras la firmeza de la resolución en vía administrativa.
Por el momento, las multas contempladas por el anteproyecto español son las más altas a nivel europeo.
No obstante, la reforma del Código penal de 2015 introdujo la posibilidad de exención de responsabilidad a aquellas personas jurídicas que hubiesen implementado un modelo eficaz de prevención de riesgos penales con anterioridad a las irregularidades detectadas.
A través de la web https://www.eticoaldia.com/web.html Compliance-Consigno, S.L. amplía toda la información relativa a los canales de denuncia, sus requisitos y características.
[1] Reglamento (UE) 2016/679 del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.