Transpone la Directiva (UE) 2019/1937, convirtiendo en obligatorio el “canal de denuncias” para todas las entidades del sector público, incluidas todas las entidades locales, con independencia del tamaño; así como para las entidades jurídicas del sector privado que empleen a 50 o más trabajadores; y partidos políticos, sindicatos, patronales y fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos.
Procedimiento sancionador
El procedimiento sancionador contempla multas que oscilan entre los 1.001 y los 300.000 euros, en el caso de personas físicas; y los 100.000 y el millón de euros, en el caso de las personas jurídicas.
En el caso de infracciones muy graves, no se podrá acceder a subvenciones o beneficios fiscales durante un plazo de 4 años, ni contratar con el sector público durante un plazo de 3 años.
Sujetos obligados a contar con un sistema interno de información (arts. 10 y 13 de la Ley 2/23)
A. Sector privado. Todas las empresas (personas físicas o jurídicas) que tengan contratados 50 o más trabajadores.
Además, con independencia del número de empleados, están obligados los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos.
Y también las empresas dedicadas a servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente.
B. En el sector público: están obligadas todas las entidades que lo integran, si bien se permite que, por cuestiones de eficiencia, los municipios de menos de 10.000 habitantes lo compartan entre sí o con cualesquiera otras Administraciones públicas que se ubiquen dentro del territorio de la comunidad autónoma.
Requisitos del sistema de información y canal/es interno/s (arts. 4 a 9 de la Ley 2/23)
– El responsable del sistema será designado por el órgano de administración u órgano de gobierno de cada entidad u organismo obligado, previa consulta con la representación legal de las personas trabajadoras.
– Debe estar diseñado, establecido y gestionado de forma segura, garantizando la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, y de las actuaciones que se desarrollen en la gestión y tramitación de la misma, así como la protección de datos, impidiendo el acceso de personal no autorizado.
– Debe integrar los distintos canales internos de información que puedan establecerse dentro de la entidad.
– Debe contar con una política o estrategia que enuncie los principios generales en materia de Sistemas interno de información y defensa del informante y que sea debidamente publicitada en el seno de la entidad u organismo (el denominado Código ético).
– Debe contar con un procedimiento de gestión de las informaciones recibidas.
– Debe establecer las garantías para la protección de los informantes en el ámbito de la propia entidad u organismo. La gestión del Sistema interno de información se podrá llevar a cabo dentro de la propia entidad u organismo o acudiendo a un tercero externo.
– La organización debe proporcionar, de manera accesible y visible, información sobre su Código Ético y sobre el Canal de denuncias (para qué es, cómo funciona, cómo es el proceso): artículos 5.2.h) e i) y 9 de la Ley 2/23 y artículos 4.4.a) y 5.2 ISO 37002.
– La información sobre el uso del canal interno se debe ofrecer de manera adecuada, de forma clara y fácilmente accesible, incluyendo los principios esenciales del procedimiento de gestión. En caso de contar con una página web, dicha información deberá constar en la página de inicio, en una sección separada y fácilmente identificable: artículo 25 de la Ley 2/23.
Posibles campos del formulario de denuncia interna (artículo 2 Ley 2/23 y artículo 8.2 ISO 37002)
1. Datos del denunciante, o dar posibilidad de denuncia anónima.
2. Hechos relevantes sobre los que se informa.
3. Relación con la organización (laboral, proveedor, cliente, etc.).
4. En su caso, información sobre la existencia de grupo de empresas.
5. Dónde ocurrieron los hechos.
6. Cuándo ocurrieron los hechos.
7. Posible tipificación de los hechos.
8. Personas implicadas.
9. Otro/as afectado/as o participantes.
10. Área de negocio afectada.
11. Fuente de conocimiento del problema.
12. Si tiene conocimiento del problema la Dirección.
13. Testigos.
Adicionalmente,
14. Se deben aceptar los términos y condiciones de uso.
15. Código ético y procedimiento de gestión del sistema interno accesibles.
16. Se debe informar de los derechos del informante, así como de los riesgos de las denuncias falsas.
Cabe la gestión por tercero externo (arts. 6 y 15 de la Ley 2/23). En el ámbito privado, cabe la delegación de funciones del responsable del sistema (art. 8.3 de la Ley 2/23) (artículo 5.3.3 ISO 37002).
La denuncia puede ser escrita o verbal: (artículo 7 de la Ley 2/23 y 7.4 ISO 37002). Conforme establece el artículo 7.2 de la norma, si la denuncia está identificada, se puede realizar de forma presencial.
La presentación genera un número de registro (artículo 26.1 de la Ley 2/23)
Medidas de confidencialidad, protección de datos y tramitación (artículos 4 a 9 y 29 y siguientes de la Ley 2/23)
– Acuse de recibo en el plazo de 7 días, artículo 9.2.c) de la Ley 2/23.
– Artículo 9.2.j) y e) de la Ley 2/23, (artículo 8.4 ISO 37002). Primera valoración sobre si la denuncia está fundada o hay sospechas de que pueda ser una conducta delictiva y/o pueda ocasionar daños que requieran acciones inmediatas (medidas cautelares) para proteger al denunciante, a terceros o a la propia organización.
– Posible comunicación con el informante y, si se considera necesario, solicitud de información adicional.
– Remisión de la información al Ministerio Fiscal con carácter inmediato cuando los hechos pudieran ser indiciariamente constitutivos de delito. En el caso de que los hechos afecten a los intereses financieros de la Unión Europea, se remitirá a la Fiscalía Europea.
Investigación interna (8.4.1 ISO 37002)
Se distinguen dos situaciones:
A. Se detecta infracción- Comunicaciones de pasos intermedios (8.5 ISO 37002):
a) La organización adopta medidas para resolverla y para monitorizar que no vuelva a suceder, conforme a las políticas/código ético.
b) En su caso, impone las sanciones internas que procedan y hayan sido tipificadas.
c) En su caso, monitoriza los resultados de las investigaciones judiciales/ policiales.
d) Posible reconocimiento al denunciante.
B. No se detecta infracción (8.4.1 ISO 37002):
a) Protege la información y custodia de documentos.
b) No interfiere en investigaciones policiales o judiciales.
– El plazo máximo para dar respuesta a las actuaciones de investigación no puede ser superior a 3 meses a contar desde la recepción de la comunicación o, si no se remitió un acuse de recibo al informante, a 3 meses a partir del vencimiento del plazo de 7 días después de efectuarse la comunicación, salvo casos de especial complejidad que requieran una ampliación del plazo, en cuyo caso, este podrá extenderse hasta un máximo de otros 3 meses adicionales: artículo 9.2.d) de la Ley 2/23.
– Obligación de supresión de datos en los casos del art. 32.3 de la Ley 2/23. En todo caso, transcurridos 3 meses desde la recepción de la comunicación sin que se hayan iniciado actuaciones de investigación, debe procederse a la supresión de los datos personales de la denuncia, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema (art. 32.4 Ley 2/23).
– Se deben documentar en el libro-registro las informaciones recibidas y las investigaciones internas a que hayan dado lugar, garantizando, en todo caso, los requisitos de confidencialidad legalmente previstos (art. 26 Ley 2/23).
¿Necesitas un abogado?
Envíanos un Whatsapp o llámanos
O si lo prefieres envíanos tus datos y nos pondremos
en contacto contigo para asesorarte acerca de los
servicios que mejor se adapten a tus necesidades.
Comentarios
No hay comentarios sobre esta entrada