El Consejo de la Unión Europea aprobó el pasado mes de octubre la Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, que obligará a las entidades del sector privado de 50 o más trabajadores y a todas las del sector público, a habilitar canales y procedimientos de denuncia interna para que los trabajadores puedan informar sobre infracciones conocidas en el contexto laboral.

Los canales de denuncia no son una novedad. La experiencia acumulada y los estándares de cumplimiento normativo (ISO 19600–2014, UNE 19601) ya los consideraban elementos imprescindibles de los sistemas de compliance. No obstante, el impulso legislativo ha sido determinante en su avance, especialmente cuando se trata de normas de aplicación general como la reforma del Código Penal de 2015 o, más recientemente, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. La nueva Directiva es el último hito, probablemente el más importante, en la consolidación de los canales de denuncia.  A continuación recogemos 8 claves para conocer la nueva norma.

1. A qué obliga la norma. Las entidades deberán establecer canales y procedimientos para que sus trabajadores puedan comunicar cualquier información sobre infracciones, reales o potenciales, en su propia entidad o en otra organización con la que el denunciante esté o haya estado en contacto con motivo de su trabajo.

2. A quién obliga. En el sector privado a entidades jurídicas con 50 o más trabajadores (este límite no se aplica en algunos casos, por ejemplo en el sector financiero), aunque los Estados miembros pueden ampliar este ámbito teniendo en cuenta el tipo de actividad y el riesgo que representa. En el sector público obliga a todas las entidades jurídicas, si bien se prevé la posibilidad de eximir a los municipios de menos de 10.000 habitantes o con menos de 50 trabajadores.

3. Qué tipo de infracciones pueden denunciarse. La Directiva establece los siguientes ámbitos: contratación pública; productos, servicios y mercados financieros; prevención del blanqueo de capitales y de financiación del terrorismo; salud; protección del medio ambiente; seguridad de los productos y de los alimentos; protección de los consumidores; protección de datos personales; y seguridad en las redes y sistemas de información. Los Estados miembros puedan ampliar esta lista.

4. Quiénes pueden usar estos canales. En todo caso, los trabajadores de la entidad, incluidos funcionarios (mínimo obligatorio). Asimismo, las entidades podrán admitir las comunicaciones de trabajadores no asalariados, accionistas y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa (también los miembros no ejecutivos), así como los voluntarios y los trabajadores en prácticas, perciban o no remuneración; cualquier persona que trabaje bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores. No es necesario que la relación con la empresa se encuentre en vigor o haya comenzado (cuando la infracción haya sido conocida durante el proceso de selección o de negociación precontractual).

5. Tratamiento de datos personales. Sin duda, una de las cuestiones delicadas del sistema que pretende implantarse. La Directiva se remite al Reglamento (UE) 2016/679 y, por extensión, a nuestra LO 3/2018, cuyo artículo 24 requiere que los empleados (previa consulta a los interlocutores sociales, en el caso que así lo establezca el Derecho nacional) y terceros sean informados acerca de la existencia de estos sistemas de información, así como sobre los procedimientos de denuncia externa (ante las autoridades competentes), de forma clara y accesible, incluso para otras personas que no sean los trabajadores, como prestadores de servicios, distribuidores, proveedores y socios comerciales.

Los canales deben garantizar la confidencialidad de la identidad del denunciante (salvo consentimiento de éste) y de cualquiera mencionado en la denuncia e impedir el acceso a ella al personal no autorizado.

No se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una denuncia específica. Los datos incluidos en las denuncias podrán tratarse el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación, con un máximo de tres meses y después de dicho plazo, los datos deberán suprimirse del canal, aunque podrán seguir siendo tratados por el órgano al que corresponda la investigación de los hechos denunciados.

6. Procedimiento. La Directiva establece un sistema de doble instancia, de tal manera que será preciso denunciar primero en el canal habilitado por la entidad (denuncia interna). El legislador europeo ha considerado que los denunciantes se sienten más cómodos en la vía interna y que, además, conviene que la información llegue rápidamente a quienes están más próximos a la fuente del problema y tienen más posibilidades de investigarlo y competencias para remediarlo.

No obstante, cabe denunciar directamente ante las autoridades en determinados: si la empresa es de las exentas de la obligación de disponer de canales propios; si el denunciante considera que en éstos no se puede tratar la infracción de manera efectiva (por ejemplo, no se ha tomado ninguna medida adecuada para tratar la infracción acreditada); si el denunciante entiende que existe riesgo de represalias; y también en los casos en los que las autoridades competentes están mejor situadas para tratar la denuncia (por ejemplo, cuando haya riesgo de que se oculten o destruyan la infracción o las pruebas).

La gestión de los canales de denuncia podrá asumirse internamente o externalizarse, pero debe estar garantizada en todo caso la independencia y la ausencia de conflictos de intereses.

Se permite la presentación de denuncias por escrito o verbalmente, o ambos. Se prevé que los Estados miembros puedan decidir sobre la aceptación y seguimiento de las denuncias anónimas, aunque en el caso español, el artículo 24 de la LO 3/2018 y el nuevo artículo 26 bis de la Ley 10/2010 de 28 de abril de prevención del blanqueo de capitales y de la financiación del terrorismo, ya las admiten expresamente.

Las entidades deberán llevar un registro de todas las denuncias recibidas, con la debida confidencialidad, aunque solamente se conservará la información por el tiempo estrictamente necesario y con los requisitos previstos para el tratamiento de datos personales.

Se dará acuse de recibo al denunciante en un plazo máximo de siete días a partir de la recepción de la denuncia y del seguimiento o instrucción se encargará una persona o departamento imparcial (puede ser o no, la misma persona/departamento que recibe las denuncias). En esta fase de seguimiento se valorará la exactitud de la denuncia y, en su caso, se adoptarán las medidas oportunas para resolver la infracción.

El canal debe informar al denunciante, en la medida de lo jurídicamente posible y de la manera más completa posible, sobre las acciones previstas o adoptadas para seguir la denuncia y los motivos para elegir dicho seguimiento y, en todo caso, sobre los avances y el resultado de la investigación.

Finalmente, deberá darse respuesta a los denunciantes en un plazo no superior a tres meses a partir del acuse de recibo o de la fecha tope en la que éste debió ser enviado. En la respuesta se incluirá información clara y fácilmente accesible sobre los procedimientos de denuncia externa ante las autoridades competentes.

7. Medidas de protección. La protección de los denunciantes resulta clave para el éxito/eficacia del sistema (buena muestra de ello es el caso que publicaba el diario El País el domingo 17 de noviembre), de ahí que la Directiva incluya un capítulo completo en el que, además de la prohibición de todo tipo de represalias, recoge medidas de protección y de apoyo a los denunciantes y a terceros relacionados con ellos y que puedan sufrir represalias en un contexto laboral (compañeros de trabajo, familiares, empresas de su propiedad,…).

La Directiva prevé también la aplicación de sanciones para quienes impidan o intenten impedir las denuncias o adopten medidas de represalia y también para los denunciantes de mala fe.

8. Adaptación. La Directiva contempla un plazo de dos años para que los Estados miembros la adapten a sus respectivos ordenamientos. Parece una fecha lejana, pero muchas de las cuestiones expuestas no son complicadas de poner en marcha y supondrían ya una mejora de los sistemas de compliance de la empresa. Este puede ser, por tanto, un momento idóneo para ponerse en marcha y hacerlo de manera planificada y sin la presión de plazos, con opciones de rodar el sistema antes de que la obligación sea exigible.

D.A. DEFENSOR pone a disposición de las empresas interesadas su experiencia en la implementación de estos canales, así como su servicio “Buzón de Cumplimiento”, con todos los requisitos que apunta la nueva Directiva y que puede adaptarse a las empresas de cualquier sector de actividad. Contacte con nosotros si está interesado o tiene alguna duda.