El pasado 21 de febrero se publicó en el BOE la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción que transpone (tarde) la Directiva (EU) 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019, también conocida como Directiva “Whistleblowing”.
La ley nace con la finalidad de luchar contra la corrupción y el fraude en el seno de las organizaciones empresariales y profesionales, poniendo a disposición de los potenciales informantes un canal sencillo y discreto, que apuesta por el anonimato y la confidencialidad y establece las garantías para su protección.
El núcleo de esta norma es la obligación para las entidades de más de cincuenta trabajadores, de implantar un sistema interno de información que deberá instaurar un canal de denuncias, un responsable del sistema, así como un procedimiento que permita la comunicación de las presuntas infracciones.
Este canal habrá de implantarse en el plazo de tres meses desde la entrada en vigor de la ley, (veinte días después de su publicación en el BOE). Sin embargo, el plazo se amplía hasta el 1 de diciembre de 2023 para las entidades jurídicas del sector privado con menos de doscientos cincuenta trabajadores.
Por lo que se refiere al ámbito material de aplicación, la ley amplia el catálogo de infracciones establecidas en la incluyendo infracciones penales y administrativas, graves y muy graves, de nuestro ordenamiento jurídico.
Es reseñable que la ley no protege únicamente a los trabajadores de la entidad, ya sea del sector público o privado, sino que la aplicación de esta se extiende a todos aquellos que tengan o hayan tenido relación con la misma. Desde personal en prácticas, proveedores o incluso personas que hayan formado parte de un proceso de selección sin que hayan formalizado nunca una relación contractual.
Asimismo, la norma proporciona garantías a aquellos que den soporte a los informantes de modo que tampoco sufran represalias por la comunicación de dicha información. Esta voluntad de impedir las posibles represalias permite la comunicación de información de forma anónima, preservando en todo caso la confidencialidad. Tal es el nivel de protección que se concede, que se prevén medidas de apoyo para los informantes como asesoramiento integral y accesible y excepcionalmente podría facilitarse apoyo financiero y psicológico.
Se prevé la creación de la Autoridad Independiente de Protección del Informante, que será la responsable del canal externo de comunicación y de la imposición de sanciones económicas. Estas últimas se fijan en un máximo de hasta 300.000 euros para las personas físicas y de 1.000.000 euros para las personas jurídicas.
En cuanto al tratamiento de los datos personales, la base de legitimación será el cumplimiento de una obligación legal, tanto en el caso de los datos de los denunciantes, como para los datos incluidos en las denuncias, pero cuando se trate de categorías especiales de datos se apoyará en lo dispuesto en el artículo 9.2.g) del Reglamento General de Protección de Datos[1], con respecto a la necesidad del tratamiento por razones de un interés público esencial.
En relación con el párrafo anterior, con carácter previo a la publicación de la ley, se debatió la necesidad de nombrar a un delegado de protección de datos dentro de las entidades obligadas a implantar un canal interno de información. Aunque, en la redacción final de la misma se concluyó que no sería necesario. Sin embargo, resulta curiosa la incongruencia existente entre el preámbulo y la redacción del artículo 34. En el preámbulo sigue disponiéndose lo siguiente: “se exige que las entidades obligadas a disponer de un Sistema interno de información, los terceros externos que en su caso lo gestionen y la Autoridad Independiente de Protección de Datos, A.A.I. así como las que en su caso se constituyan, cuenten con un delegado de protección de datos”. En cambio, el artículo 34, hace referencia al artículo 37.1.a) del Reglamento General de Protección de Datos[2] y únicamente impone este nombramiento a la Autoridad Independiente de Protección del Informante y las autoridades independientes que en su caso se constituyan. Ante tal incoherencia, recordamos la Sentencia 36/1981, de 12 de noviembre del Tribunal Constitucional en cuyo fundamento jurídico séptimo declaró que “el preámbulo no tiene valor normativo, aunque es un elemento a tener en cuenta en la interpretación de las Leyes”. Por tanto, a pesar de la confusión, debe entenderse que no existe obligatoriedad salvo en los casos indicados.
[1] Artículo 9.2.g) del RGPD: “El tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado”
[2] Artículo 37.1.a) del RGPD: “Designación del delegado de protección de datos. 1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: (a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial”.
Por: Lucia Miralles