Canales de denuncia interna o mecanismos de whistleblowing en las relaciones laborales

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Laboral
  • Fecha última revisión: 11/03/2021

Las personas que trabajan para una organización pública o privada o están en contacto con ella en el contexto de sus actividades laborales son a menudo las primeras en tener conocimiento de amenazas o perjuicios para el interés público que surgen en ese contexto. Al informar sobre infracciones, dichas personas actúan como denunciantes (en inglés conocidas coloquialmente por whistleblowers) y por ello desempeñan un papel clave a la hora de descubrir y prevenir esas infracciones y de proteger el bienestar de la sociedad. Sin embargo, los denunciantes potenciales suelen renunciar a informar sobre sus preocupaciones o sospechas por temor a represalias. En este contexto, el Derecho de la Unión ha establecido mecanismos de protección de los denunciantes mediante la denominada Directiva whistleblowing.

NOVEDAD

- Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (en inglés conocida coloquialmente por whistleblowing). Los Estados miembros pondrán en vigor las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a su contenido a más tardar el 17 de diciembre de 2021. No obstante, para las entidades jurídicas del sector privado que tengan de 50 a 249 trabajadores, los Estados miembros pondrán en vigor, a más tardar el 17 de diciembre de 2023. 

Canal ético y de denuncias (whistleblowing)

El origen del término whistleblower se remonta a la práctica de los oficiales de policía británicos que hacían sonar sus silbatos (whistle) soplando (blow), cuando presenciaban la comisión de un presunto delito. Mediante esta acción, alertaban a los ciudadanos así como a otros policías del peligro.

En el contexto actual puede referirse a cualquier persona que trabajando en sectores públicos o privados, denuncia un hecho constitutivo de delito, peligro o fraude, y que está siendo silenciado. 

En España, la introducción de este tipo de herramientas, propias de la cultura del whistleblowing anglosajón, se introduce por primera vez en apdo. 2 del art. 31 bis Código Penal, en el que se impone la obligación de «informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención». Tras esta norma destacan:

  • Norma ISO 19600:2014 sobre Sistemas de Gestión de Compliance-Directrices.
  • Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
  • Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (art. 18).
  • Código Penal (art. 31 bis 1 b) en relación al deber de supervisión, vigilancia y control). STS, n.º 154/2016, de 29 de febrero de 2016. ECLI:ES:TS:2016:613  y STS, n.º 221/2016, de 16 de marzo de 2016. ECLI:ES:TS:2016:966 .
  • Reglamento (UE) nº 596/2014 del Parlamento Europeo y del Consejo, de 16 de abril de 2014 sobre el abuso de mercado (Reglamento MAR).
  • Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014 relativa a los mercados de instrumentos financieros (Directiva MiFID II).
  • Reglamento (UE) 600/2014 del Parlamento Europeo y del Consejo de 15 de mayo de 2014 relativo a los mercados de instrumentos financieros.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
  • Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres.
  • Dictamen n.º 1/2006 del Grupo de trabajo del artículo 29. En el citado documento, el Grupo de Trabajo señalaba que “Aplicar las normas de protección de datos de la Unión Europea a los programas de denuncia de irregularidades supone otorgar una consideración específica a la cuestión de la protección de la persona que pueda haber sido incriminada en una alerta. En este sentido, el Grupo de Trabajo enfatiza que los programas de denuncia de irregularidades conllevan un riesgo muy grave de estigmatización y vejación de dicha persona dentro de la organización a la que pertenece. La persona estará expuesta a tales riesgos incluso antes de saber que ha sido incriminada y de que los supuestos hechos se hayan investigado para determinar o no su fundamento”. Asimismo, se concluía que “El Grupo de Trabajo es de la opinión de que una correcta aplicación de las normas de protección de datos a los programas de denuncia de irregularidades contribuirá a paliar dichos riesgos. También es de la opinión de que, lejos de evitar que dichos programas funcionen de conformidad con su objetivo pretendido, la aplicación de dichas normas, por lo general, contribuirá a un funcionamiento adecuado de los programas de denuncia de irregularidades”.
  • Informe jurídico de la Agencia Española de Protección de Datos (AEPD) n.º 128/2007. El Gabinete Jurídico de la Agencia Española de Protección de Datos, analiza la legalidad de un sistema de denuncia interna (whistleblowing) conforme a la normativa española en materia de protección de datos (ex Ley Orgánica 15/1999, de 13 de diciembre), puesto que estos sistemas afectan a datos de carácter personal, tanto del denunciante como del denunciado.
  • Norma UNE 19601:2017. Sistemas de gestión de compliance penal. Requisitos con orientación para su uso.
  • Circular 1/2016, de 22 de enero, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015.

Mención especial merece la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.

Como establece el considerando (1) de la norma, las personas que trabajan para una organización pública o privada o están en contacto con ella en el contexto de sus actividades laborales son a menudo las primeras en tener conocimiento de amenazas o perjuicios para el interés público que surgen en ese contexto. Al informar sobre infracciones del Derecho de la Unión que son perjudiciales para el interés público, dichas personas actúan como denunciantes (en inglés coloquialmente whistleblowers) y por ello desempeñan un papel clave a la hora de descubrir y prevenir esas infracciones y de proteger el bienestar de la sociedad. Sin embargo, los denunciantes potenciales suelen renunciar a informar sobre sus preocupaciones o sospechas por temor a represalias. En este contexto, es cada vez mayor la necesidad de prestar una protección equilibrada y efectiva a los denunciantes.

Entre las novedades del texto europeo encontraremos:

  • Se aplicará sobre determinadas infracciones como, las relativas a contratación pública, mercados financieros, seguridad sanitaria e intimidad personal.

  • La obligación de existencia de un canal interno de denuncias será obligatoria para las entidades públicas, pero también alcanzará a las empresas privadas con 50 o más personas trabajadoras.

  • Las líneas de denuncia han de cumplir requisitos como: garantías de confidencialidad y tramitación diligente; acuse de recibo; el establecimiento de unos plazos concretos y razonables; o la designación de personas imparciales para tramitar las denuncias.

  • Agotados los cauces internos se procederá a emplear los cauces externos.

  • Se otorga protección a las personas que realicen revelaciones públicas siempre que la infracción puede suponer un peligro para el interés público, inminente o manifiesto, o exista riesgo de represalias o pocas probabilidades de que se solucione la infracción si se emplean medios externos convencionales.

  • Se establece un catálogo de represalias prohibidas, que incluyen amenazas, despidos, degradaciones, discriminación, daños a la reputación, etc.

Los Estados miembros pondrán en vigor las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la Directiva (UE) 2019/1937 antes del 17 de diciembre de 2021. No obstante, para su implantación en entidades jurídicas del sector privado que tengan de 50 a 249 trabajadores, se establece un plazo especial (4 años), hasta el 17 de diciembre de 2023.

¿Qué es el whistleblowing? ¿A quién se pretende proteger?

El whistleblowing puede ser definido como un medio para canalizar cualquier denuncia de comportamientos delictivos, poco éticos o irregulares por parte de una empresa, sus empleados, o terceros con los que se mantenga algún tipo de relación con fundamento en la legislación europea. Su principal función será, por tanto, facilitar un medio de denuncia con garantías frente a cualquier incumplimiento normativo por parte de la empresa que pudiera ser constitutivo de delito o fraude como parte del sistema de gestión de Compliance o cumplimiento normativo.

Por denunciante (whistleblower) ha de entenderse una persona física que comunica o revela públicamente información sobre infracciones obtenida en el contexto de sus actividades laborales.

La protección, en primer lugar, debe aplicarse a la persona que tenga la condición de "trabajador" (definida en el art. 45.1 TFUE). Por lo tanto, la protección debe concederse también a los trabajadores que se encuentran en relaciones laborales atípicas, incluidos los trabajadores a tiempo parcial y los trabajadores con contratos de duración determinada, así como a las personas con un contrato de trabajo o una relación laboral con una empresa de trabajo temporal, relaciones laborales precarias en las que las formas habituales de protección frente a un trato injusto resultan a menudo difíciles de aplicar. El concepto de «trabajador» también incluye a los funcionarios, a los empleados del servicio público, así como a cualquier otra persona que trabaje en el sector público.

La nueva Directiva se aplicará a los denunciantes que trabajen en el sector privado o público y que hayan obtenido información sobre infracciones en un contexto laboral, incluyendo, como mínimo, a:

  • Las personas que tengan la condición de trabajadores en el sentido del artículo 45, apartado 1, del TFUE, incluidos los funcionarios.
  • Las personas que tengan la condición de trabajadores no asalariados, en el sentido del artículo 49 del TFUE.
  • Los accionistas y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa, incluidos los miembros no ejecutivos, así como los voluntarios y los trabajadores en prácticas que perciben o no una remuneración.
  • Cualquier persona que trabaje bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores.

Las medidas de protección del denunciante también se aplicarán sobre otros colectivos que actualmente no cuentan con protección en los ordenamientos jurídicos nacionales:

  • Cuando comuniquen o revelen públicamente información sobre infracciones obtenida en el marco de una relación laboral ya finalizada.
  • Cuya relación laboral todavía no haya comenzado, en los casos en que la información sobre infracciones haya sido obtenida durante el proceso de selección o de negociación precontractual.
  • Los facilitadores, entendidos como las personas físicas que asiste a un denunciante en el proceso de denuncia en un contexto laboral, y cuya asistencia debe ser confidencial
  • Terceros que estén relacionados con el denunciante y que puedan sufrir represalias en un contexto laboral, como compañeros de trabajo o familiares del denunciante.
  • Las entidades jurídicas que sean propiedad del denunciante, para las que trabaje o con las que mantenga cualquier otro tipo de relación en un contexto laboral.

Según el considerando (32) y su el art. 5.1 de la Directiva, para gozar de protección al amparo de la misma, los denunciantes deben tener motivos razonables para creer, a la luz de las circunstancias y de la información de que dispongan en el momento de la denuncia, que los hechos que denuncian son ciertos. Ese requisito es una salvaguardia esencial frente a denuncias malintencionadas, frívolas o abusivas, para garantizar que quienes, en el momento de denunciar, comuniquen deliberada y conscientemente información incorrecta o engañosa no gocen de protección. Al mismo tiempo, el requisito garantiza que la protección no se pierda cuando el denunciante comunique información inexacta sobre infracciones por error cometido de buena fe. De manera similar, los denunciantes deben tener derecho a protección en virtud de la presente Directiva si tienen motivos razonables para creer que la información comunicada entra dentro de su ámbito de aplicación. Los motivos de los denunciantes al denunciar deben ser irrelevantes para determinar si esas personas deben recibir protección.

Las personas que denuncien de forma anónima o hagan revelaciones públicas de forma anónima dentro del ámbito de aplicación de la presente Directiva y cumplan sus condiciones deben gozar de protección en virtud de la presente Directiva si posteriormente son identificadas y sufren represalias (Considerando (34)).

¿A quién afecta la obligación de establecimiento de canales de denuncia interna? ¿Cuándo ha de estar regulada en España?

En virtud del artículo 8 de la norma, la necesidad de un canal interno de denuncias y seguimiento del mismo afectará tanto al sector privado como público, previa consulta a los interlocutores sociales y de acuerdo con ellos cuando así lo establezca el Derecho nacional. No obstante, hasta la transposición de la Directiva whistleblowing, el establecimiento de un canal de denuncias interno, así como los mecanismos de protección de los denunciantes, en principio, no serán obligatorios.

Cuando se proceda a la transposición, el establecimiento de canales de denuncia interna será obligatorio para todas las entidades, públicas y privadas, que cuenten con más de 50 personas trabajadoras en plantilla. Esta necesidad se aplicará, como hemos adelantado:

  • A las entidades jurídicas del sector privado que tengan 50 o más trabajadores. Las entidades jurídicas del sector privado que tengan entre 50 y 249 trabajadores podrán compartir recursos para la recepción de denuncias y toda investigación que deba llevarse a cabo. Lo anterior se entenderá sin perjuicio de las obligaciones impuestas a dichas entidades por la Directiva (UE) 2019/1937 de mantener la confidencialidad, de dar respuesta al denunciante, y de tratar la infracción denunciada.
  • A todas las entidades jurídicas del sector público, incluidas las entidades que sean propiedad o estén sujetas al control de dichas entidades. En este punto se fija que los Estados miembros podrán eximir de la obligación a los municipios de menos de 10 000 habitantes o con menos de 50 trabajadores, u otras entidades mencionadas en el párrafo primero del presente apartado con menos de 50 trabajadores, del mismo modo, los Estados miembros podrán prever que varios municipios puedan compartir los canales de denuncia interna o que estos sean gestionados por autoridades municipales conjuntas de conformidad con el Derecho nacional, siempre que los canales de denuncia interna compartidos estén diferenciados y sean autónomos respecto de los correspondientes canales de denuncia externa.
  • Tras una adecuada evaluación del riesgo y teniendo en cuenta la naturaleza de las actividades de las entidades y el correspondiente nivel de riesgo, en particular, para el medio ambiente y la salud pública, los Estados miembros podrán exigir que las entidades jurídicas del sector privado con menos de 50 trabajadores establezcan canales y procedimientos de denuncia interna de conformidad con lo dispuesto en el capítulo II de la directiva.

La Directiva analizada establece en su art. 26 unas pautas temporales para su transposición y la aplicación de un período transitorio:

  • Los Estados miembros pondrán en vigor las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva a más tardar el 17 de diciembre de 2021.
  • Para las entidades jurídicas del sector privado que tengan de 50 a 249 trabajadores, los Estados miembros pondrán en vigor, a más tardar el 17 de diciembre de 2023, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a la obligación de establecer canales de denuncia interna (art. 8.3 Directiva (UE) 2019/1937).

¿Es posible su externalización?

La Directiva (UE) 2019/1937 autoriza a terceros a recibir denuncias de infracciones en nombre de entidades jurídicas de los sectores privado y público, siempre que ofrezcan garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto. Dichos terceros pueden ser proveedores de plataformas de denuncia externa, asesores externos, auditores, representantes sindicales o representantes de los trabajadores (Considerando (54)).

¿Qué pasará con los actuales sistemas de denuncias internas cuando se transponga al ordenamiento jurídico español la Directiva (UE) 2019/1937?

Las directivas son de obligado cumplimiento cuando se realiza su transposición a nuestro ordenamiento jurídico mediante Real Decreto. Cuando esto suceda, será necesario ajustar cualquier protocolo o canal de denuncia interno a la nueva regulación.

¿Cómo se regulan los sistemas de denuncias internas en la LOPDGDDReglamento general de protección de datos?

Como analizaremos, el art. 24 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) especifica:

"Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información".

Por el contrario, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), no concreta ninguna previsión especifica sobre los sistema de denuncias internas.

No hay versiones para este comentario

Whistleblowing
Protección de datos
Interés publico
Datos personales
Amenazas
Actividad laboral
Persona física
Instrumentos financieros
Fraude
Compliance
Blanqueo de capitales
Tratamiento de datos personales
Obligación de información
Terrorismo
Vejaciones
Normativa M.I.F.I.D.
Responsabilidad penal
Persona jurídica
Mercado financiero
Daños y perjuicios
Contrato de trabajo de duración determinada
Órganos de administración
Empresas de trabajo temporal
Funcionarios públicos
Subcontratista
Accionista
Trabajador a tiempo parcial
Contrato de Trabajo
Evaluación de riesgos
Buena fe
Informaciones incorrectas
Proveedores
Representación de los trabajadores

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Ley Orgánica 3/2007 de 22 de Mar (Igualdad efectiva de mujeres y hombres) VIGENTE

Boletín: Boletín Oficial del Estado Número: 71 Fecha de Publicación: 23/03/2007 Fecha de entrada en vigor: 24/03/2007 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Ley 10/2010 de 28 de Abr (Prevención del blanqueo de capitales y de la financiación del terrorismo) VIGENTE

Boletín: Boletín Oficial del Estado Número: 103 Fecha de Publicación: 29/04/2010 Fecha de entrada en vigor: 30/04/2010 Órgano Emisor: Jefatura Del Estado

Real Decreto 1720/2007 de 21 de Dic (Reglamento de desarrollo de la LO 15/1999, de proteccion de datos de caracter personal) VIGENTE

Boletín: Boletín Oficial del Estado Número: 17 Fecha de Publicación: 19/01/2008 Fecha de entrada en vigor: 19/04/2008 Órgano Emisor: Ministerio De Justicia

Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
  • Características y requisitos de los canales éticos o de denuncias

    Orden: Laboral Fecha última revisión: 20/05/2021

    Características y requisitos de los canales de denunciasAdelantándonos al análisis de los procedimientos de denuncia interna y su seguimiento, los canales de denuncia "válidos" deberán cumplir una serie de requisitos más allá de los encaminad...

  • Procedimientos de denuncia mediante canales de denuncias internos y externos

    Orden: Laboral Fecha última revisión: 12/04/2021

    Siempre que se garantice la confidencialidad de la identidad del denunciante, corresponde a cada entidad jurídica individual del sector privado y público definir el tipo de canales de denuncia que se hayan de establecer, pudiendo incluso externaliz...

  • Sistemas de información de denuncias internas en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 12/02/2019

    En el Título IV de la LOPDGDD se recogen «Disposiciones aplicables a tratamientos concretos» que se consideran lícitos, incluyendo como tal, los sistemas de denuncias internas, en que la licitud del tratamiento proviene de la existencia de un int...

  • Denuncia mediante canales de denuncia interna y protección de datos

    Orden: Laboral Fecha última revisión: 20/05/2021

    Tanto para los procedimientos de denuncia interna como externa la normativa europea fija el deber de confidencialidad, tratamiento de datos y registro de las denuncias.Denuncia interna y protección de datosTanto para los procedimientos de denuncia ...

  • Incidencia de la protección de datos de las personas trabajadoras en el ámbito laboral

    Orden: Laboral Fecha última revisión: 21/05/2021

    La gestión de datos personales en el área de los recursos humanos, la prevención de los riesgos laborales, los controles empresariales, los canales de denuncias internas o «Whistleblowing», y las relaciones con la representación legal de las pe...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados