Canales de denuncia interna o mecanismos de whistleblowing en las relaciones laborales

NOVEDADES

- Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Se transpone al ordenamiento jurídico español la conocida como Directiva de Whistleblowing. Estarán obligadas a dispones de un sistema interno de información:

• 3 meses desde la entrada en vigor (13 de junio de 2023): entidades obligadas según la Ley.
• 1 de diciembre de 2023: entidades del sector privado con 249 trabajadores o menos, municipios de menos de 10.000 habitantes.

Desde el 01/12/2023 (fin de los plazos de transposición), el establecimiento de canales de denuncia interna será obligatorio para todas las entidades, públicas y privadas, que cuenten con más de 50 personas trabajadoras en plantilla. 

- Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (en inglés conocida coloquialmente por whistleblowing). Los Estados miembros pondrán en vigor las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a su contenido a más tardar el 17 de diciembre de 2021. No obstante, para las entidades jurídicas del sector privado que tengan de 50 a 249 trabajadores, los Estados miembros pondrán en vigor, a más tardar el 17 de diciembre de 2023. 

Canal ético y de denuncias (whistleblowing)

El origen del término whistleblower se remonta a la práctica de los oficiales de policía británicos que hacían sonar sus silbatos (whistle) soplando (blow), cuando presenciaban la comisión de un presunto delito. Mediante esta acción, alertaban a los ciudadanos así como a otros policías del peligro.

En el contexto actual puede referirse a cualquier persona que trabajando en sectores públicos o privados, denuncia un hecho constitutivo de delito, peligro o fraude, y que está siendo silenciado. 

En España, la introducción de este tipo de herramientas, propias de la cultura del whistleblowing anglosajón, se introduce por primera vez en apdo. 2 del art. 31 bis Código Penal, en el que se impone la obligación de «informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención». Tras esta norma destacan:

• Norma ISO 19600:2014 sobre Sistemas de Gestión de Compliance-Directrices.
• Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
• Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (art. 18).
• Código Penal (art. 31 bis 1 b) en relación al deber de supervisión, vigilancia y control). STS, n.º 154/2016, de 29 de febrero de 2016. ECLI:ES:TS:2016:613 y STS, n.º 221/2016, de 16 de marzo de 2016. ECLI:ES:TS:2016:966.
• Reglamento (UE) n.º 596/2014 del Parlamento Europeo y del Consejo, de 16 de abril de 2014 sobre el abuso de mercado (Reglamento MAR).
• Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014 relativa a los mercados de instrumentos financieros (Directiva MiFID II).
• Reglamento (UE) 600/2014 del Parlamento Europeo y del Consejo de 15 de mayo de 2014 relativo a los mercados de instrumentos financieros.
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
• Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres.
• Dictamen n.º 1/2006 del Grupo de trabajo del artículo 29. En el citado documento, el Grupo de Trabajo señalaba que “Aplicar las normas de protección de datos de la Unión Europea a los programas de denuncia de irregularidades supone otorgar una consideración específica a la cuestión de la protección de la persona que pueda haber sido incriminada en una alerta. En este sentido, el Grupo de Trabajo enfatiza que los programas de denuncia de irregularidades conllevan un riesgo muy grave de estigmatización y vejación de dicha persona dentro de la organización a la que pertenece. La persona estará expuesta a tales riesgos incluso antes de saber que ha sido incriminada y de que los supuestos hechos se hayan investigado para determinar o no su fundamento”. Asimismo, se concluía que “El Grupo de Trabajo es de la opinión de que una correcta aplicación de las normas de protección de datos a los programas de denuncia de irregularidades contribuirá a paliar dichos riesgos. También es de la opinión de que, lejos de evitar que dichos programas funcionen de conformidad con su objetivo pretendido, la aplicación de dichas normas, por lo general, contribuirá a un funcionamiento adecuado de los programas de denuncia de irregularidades”.
• Informe jurídico de la Agencia Española de Protección de Datos (AEPD) n.º 128/2007. El Gabinete Jurídico de la Agencia Española de Protección de Datos, analiza la legalidad de un sistema de denuncia interna (whistleblowing) conforme a la normativa española en materia de protección de datos (ex Ley Orgánica 15/1999, de 13 de diciembre), puesto que estos sistemas afectan a datos de carácter personal, tanto del denunciante como del denunciado.
• Norma UNE 19601:2017. Sistemas de gestión de compliance penal. Requisitos con orientación para su uso.
• Circular 1/2016, de 22 de enero, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015.

Mención especial merece la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.

Como establece el considerando (1) de la norma, las personas que trabajan para una organización pública o privada o están en contacto con ella en el contexto de sus actividades laborales son a menudo las primeras en tener conocimiento de amenazas o perjuicios para el interés público que surgen en ese contexto. Al informar sobre infracciones del Derecho de la Unión que son perjudiciales para el interés público, dichas personas actúan como denunciantes (en inglés coloquialmente whistleblowers) y por ello desempeñan un papel clave a la hora de descubrir y prevenir esas infracciones y de proteger el bienestar de la sociedad. Sin embargo, los denunciantes potenciales suelen renunciar a informar sobre sus preocupaciones o sospechas por temor a represalias. En este contexto, es cada vez mayor la necesidad de prestar una protección equilibrada y efectiva a los denunciantes.

Entre las novedades del texto europeo encontraremos:

• Se aplicará sobre determinadas infracciones como, las relativas a contratación pública, mercados financieros, seguridad sanitaria e intimidad personal.
  
• La obligación de existencia de un canal interno de denuncias será obligatoria para las entidades públicas, pero también alcanzará a las empresas privadas con 50 o más personas trabajadoras.
  
• Las líneas de denuncia han de cumplir requisitos como: garantías de confidencialidad y tramitación diligente; acuse de recibo; el establecimiento de unos plazos concretos y razonables; o la designación de personas imparciales para tramitar las denuncias.
  
• Agotados los cauces internos se procederá a emplear los cauces externos.
  
• Se otorga protección a las personas que realicen revelaciones públicas siempre que la infracción puede suponer un peligro para el interés público, inminente o manifiesto, o exista riesgo de represalias o pocas probabilidades de que se solucione la infracción si se emplean medios externos convencionales.
  
• Se establece un catálogo de represalias prohibidas, que incluyen amenazas, despidos, degradaciones, discriminación, daños a la reputación, etc.

En nuestro país esta directiva se desarrolla mediante la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

¿Qué es el whistleblowing? ¿A quién se pretende proteger?

El whistleblowing puede ser definido como un medio para canalizar cualquier denuncia de comportamientos delictivos, poco éticos o irregulares por parte de una empresa, sus empleados, o terceros con los que se mantenga algún tipo de relación con fundamento en la legislación europea. Su principal función será, por tanto, facilitar un medio de denuncia con garantías frente a cualquier incumplimiento normativo por parte de la empresa que pudiera ser constitutivo de delito o fraude como parte del sistema de gestión de compliance o cumplimiento normativo.

Por denunciante (whistleblower) ha de entenderse una persona física que comunica o revela públicamente información sobre infracciones obtenida en el contexto de sus actividades laborales.

La protección, en primer lugar, debe aplicarse a la persona que tenga la condición de trabajador (definida en el art. 45.1 TFUE). Por lo tanto, la protección debe concederse también a los trabajadores que se encuentran en relaciones laborales atípicas, incluidos los trabajadores a tiempo parcial y los trabajadores con contratos de duración determinada, así como a las personas con un contrato de trabajo o una relación laboral con una empresa de trabajo temporal, relaciones laborales precarias en las que las formas habituales de protección frente a un trato injusto resultan a menudo difíciles de aplicar. El concepto de «trabajador» también incluye a los funcionarios, a los empleados del servicio público, así como a cualquier otra persona que trabaje en el sector público.

Esta regulación se aplica a (art. 3.1 de la Ley 2/2023, de 20 de febrero):

• Las personas que tengan la condición de empleados públicos o trabajadores por cuenta ajena;
• Los autónomos;
• Los accionistas, partícipes y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa, incluidos los miembros no ejecutivos;
• Cualquier persona que trabaje para o bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores.

Las medidas de protección del denunciante también se aplicarán sobre otros colectivos que actualmente no cuentan con protección en los ordenamientos jurídicos nacionales (art. 3.2 de la Ley 2/2023, de 20 de febrero):

• Cuando comuniquen o revelen públicamente información sobre infracciones obtenida en el marco de una relación laboral ya finalizada.
• Cuya relación laboral todavía no haya comenzado, en los casos en que la información sobre infracciones haya sido obtenida durante el proceso de selección o de negociación precontractual.
• Los facilitadores, entendidos como las personas físicas que asiste a un denunciante en el proceso de denuncia en un contexto laboral, y cuya asistencia debe ser confidencial
• Terceros que estén relacionados con el denunciante y que puedan sufrir represalias en un contexto laboral, como compañeros de trabajo o familiares del denunciante.
• Las entidades jurídicas que sean propiedad del denunciante, para las que trabaje o con las que mantenga cualquier otro tipo de relación en un contexto laboral.

Según el considerando (32) y su el art. 5.1 de la Directiva, para gozar de protección al amparo de la misma, los denunciantes deben tener motivos razonables para creer, a la luz de las circunstancias y de la información de que dispongan en el momento de la denuncia, que los hechos que denuncian son ciertos. Ese requisito es una salvaguardia esencial frente a denuncias malintencionadas, frívolas o abusivas, para garantizar que quienes, en el momento de denunciar, comuniquen deliberada y conscientemente información incorrecta o engañosa no gocen de protección. Al mismo tiempo, el requisito garantiza que la protección no se pierda cuando el denunciante comunique información inexacta sobre infracciones por error cometido de buena fe. De manera similar, los denunciantes deben tener derecho a protección en virtud de la presente Directiva si tienen motivos razonables para creer que la información comunicada entra dentro de su ámbito de aplicación. Los motivos de los denunciantes al denunciar deben ser irrelevantes para determinar si esas personas deben recibir protección.

Las personas que denuncien de forma anónima o hagan revelaciones públicas de forma anónima dentro del ámbito de aplicación de la presente Directiva y cumplan sus condiciones deben gozar de protección en virtud de la presente Directiva si posteriormente son identificadas y sufren represalias (Considerando (34)).

¿A quién afecta la obligación de establecimiento de canales de denuncia interna? ¿Cuándo entran en vigor estas obligaciones en España?

En virtud del artículo 8 de la norma, la necesidad de un canal interno de denuncias y seguimiento del mismo afectará tanto al sector privado como público, previa consulta a los interlocutores sociales y de acuerdo con ellos cuando así lo establezca el Derecho nacional. Con la transposición de la Directiva whistleblowing por parte de la Ley 2/2023, de 20 de febrero, el establecimiento de un canal de denuncias interno, así como los mecanismos de protección de los denunciantes son obligatorios según el siguiente calendario:

• Empresas de 250 trabajadores o más, Administraciones y organismos, 13 de junio de 2023.
• Empresas con 249 trabajadores o menos y municipios de menos de 10 mil habitantes, 1 de diciembre de 2023.

A TENER EN CUENTA. Se excluyen del ámbito de aplicación material los supuestos que se rigen por su normativa específica, esto es, aquella que regula los mecanismos para informar sobre infracciones y proteger a los informantes previstas por leyes sectoriales o por los instrumentos de la Unión Europea enumerados en la parte II del anexo de la Directiva (UE) 2019/1937.

Cuando finalicen estos plazos de transposición, el establecimiento de canales de denuncia interna será obligatorio para todas las entidades, públicas y privadas, que cuenten con más de 50 personas trabajadoras en plantilla. Esta necesidad se aplicará, como hemos adelantado:

• A las entidades jurídicas del sector privado que tengan 50 o más trabajadores. Las entidades jurídicas del sector privado que tengan entre 50 y 249 trabajadores podrán compartir recursos para la recepción de denuncias y toda investigación que deba llevarse a cabo. Lo anterior se entenderá sin perjuicio de las obligaciones impuestas a dichas entidades por la Directiva (UE) 2019/1937 de mantener la confidencialidad, de dar respuesta al denunciante, y de tratar la infracción denunciada.
• A todas las entidades jurídicas del sector público, incluidas las entidades que sean propiedad o estén sujetas al control de dichas entidades. En este punto se fija que los Estados miembros podrán eximir de la obligación a los municipios de menos de 10 000 habitantes o con menos de 50 trabajadores, u otras entidades mencionadas en el párrafo primero del presente apartado con menos de 50 trabajadores, del mismo modo, los Estados miembros podrán prever que varios municipios puedan compartir los canales de denuncia interna o que estos sean gestionados por autoridades municipales conjuntas de conformidad con el Derecho nacional, siempre que los canales de denuncia interna compartidos estén diferenciados y sean autónomos respecto de los correspondientes canales de denuncia externa.
• Tras una adecuada evaluación del riesgo y teniendo en cuenta la naturaleza de las actividades de las entidades y el correspondiente nivel de riesgo, en particular, para el medio ambiente y la salud pública, los Estados miembros podrán exigir que las entidades jurídicas del sector privado con menos de 50 trabajadores establezcan canales y procedimientos de denuncia interna de conformidad con lo dispuesto en el capítulo II de la directiva.

CUESTIONES

1. ¿Es posible su externalización?

La Directiva (UE) 2019/1937 autoriza a terceros a recibir denuncias de infracciones en nombre de entidades jurídicas de los sectores privado y público, siempre que ofrezcan garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto. Dichos terceros pueden ser proveedores de plataformas de denuncia externa, asesores externos, auditores, representantes sindicales o representantes de los trabajadores (Considerando (54)). Del mismo modo, el art. 32 de la Ley 2/2023, de 20 de febrero, establece que «Será lícito el tratamiento de los datos por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan».2. 

2. ¿Qué pasará con los actuales sistemas de denuncias internas cuando se transponga al ordenamiento jurídico español la Directiva (UE) 2019/1937?

Será necesario ajustar cualquier protocolo o canal de denuncia interno a la Directiva (UE) 2019/1937 y Ley 2/2023, de 20 de febrero.

3. ¿Cómo se regulan los sistemas de denuncias internas en la LOPDGDD y Reglamento general de protección de datos?

Como analizaremos, el art. 24 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) especifica:

«Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información».

Por el contrario, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), no concreta ninguna previsión específica sobre los sistemas de denuncias internas.