Cada vez es más normal que las organizaciones implementen un canal de denuncias, whistleblowing scheme, hotline, etc. En la medida que las personas en el seno de las compañías son a menudo las primeras en tener conocimiento de amenazas y perjuicios para el interés general, estas desempeñan un papel fundamental para descubrir, informar de y prevenir infracciones. Por ello, resulta esencial protegerlas.
En esta línea, el pasado lunes se firmó el texto de la nueva Directiva relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (más conocida como Directiva Whistleblowing) (la “Directiva”). A falta de ser publicada en el Diario Oficial de la Unión Europea, esta nueva norma establece el marco regulatorio para los sistemas de denuncias internas y externas a nivel europeo y deberá ser transpuesta por los Estados Miembros en el plazo máximo de dos años.
El concepto de “canal de denuncias internas” ya surgió con la LO 1/2015, que introdujo los modelos de organización y gestión para la prevención de delitos (i.e. programas de compliance), con “la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención”. Asimismo, el artículo 24 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) ha regulado específicamente los sistemas de información de denuncias internas, amparando la creación y mantenimiento de los mismos en la base de la existencia de un interés público.
En este contexto, la Directiva establece una serie de normas mínimas para la protección de las personas que informen sobre infracciones del Derecho de la Unión en el contexto de un sistema de denuncias (los “Whistleblowers”).
A continuación hacemos un breve resumen de los principales puntos que trata la Directiva:
- Ámbito de aplicación material: infracciones del Derecho de la Unión referidas a (i) determinadas materias enumeradas en la Directiva dentro del ámbito de aplicación de los actos de la Unión (g. la prevención del blanqueo, la protección de los consumidores y la protección de la privacidad y los datos personales); (ii) los intereses financieros de la Unión; y (iii) al mercado interior.
- Ámbito de aplicación personal: la Directiva se aplica a los denunciantes que trabajen en el sector privado o público y que hayan obtenido información sobre infracciones en un contexto laboral incluyendo, como mínimo, (i) trabajadores (incluidos los funcionarios); (ii) trabajadores no asalariados; (iii) accionistas y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa así como voluntarios y trabajadores en prácticas; y a (iv) cualquier persona que trabaje bajo la supervisión y la dirección de contratistas/subcontratistas/proveedores. Se aplicará además a denunciantes que hayan finalizado ya su relación laboral con la compañía y a aquellos cuya relación laboral todavía no haya comenzado.
- Se regulan tanto el canal interno como el canal externo de denuncias.
- Obligación de establecimiento de canales de denuncias internas en empresas privadas de 50 o más trabajadores, consultando previamente a los interlocutores sociales y de acuerdo con ellos cuando lo establezca el Derecho nacional. Las empresas privadas entre 50 y 249 trabajadores podrán compartir recursos para la recepción de denuncias y toda investigación que deba llevarse a cabo.
Aquellas entidades que entren en el ámbito de aplicación de los actos de la Unión relacionados con servicios, productos y mercados financieros, prevención del blanqueo de capitales y la financiación del terrorismo tendrán la obligación de establecer canales de denuncias internas independientemente del número de trabajadores.
Se deja margen a los Estados Miembros para ampliar la obligación de tener canales de denuncias.
- Las entidades jurídicas del sector público (incluidas las entidades que sean propiedad o estén sujetas al control de dichas entidades) también estarán obligadas a establecer canales de denuncias internas, con ciertas excepciones.
- Se regula el deber de confidencialidad y el tratamiento de datos personales (de conformidad con el RGPD y la Directiva (UE) 2016/680).
- Las empresas, tanto públicas como privadas, deberán llevar un registro de todas las denuncias recibidas. La Directiva establece especialidades para el mantenimiento de dichos registros según la forma en que se canalicen las denuncias (g. por escrito, sistema de voz o mensaje con o sin posibilidad de grabación, presencialmente…).
- Se establecen una serie de medidas de protección al Whistleblower como la prohibición de represalias, medidas de apoyo y medidas de protección frente a represalias, así como medidas para la protección de las personas afectadas.
- Las sanciones serán establecidas por los Estados miembros bajo los parámetros previstos en la Directiva.
A la luz de lo anterior, queda clara la importancia que revisten los canales de denuncias en el contexto actual, como materia cada vez más transversal y que busca proteger al denunciante frente al miedo de presentar una denuncia en un canal poco fiable.
Recogiendo todos estos pensamientos y siendo conscientes del impacto que puede suponer la nueva Directiva en el tejido empresarial español, la CNMC ha organizado una jornada dedicada enteramente a la protección de denunciantes o alertadores de corrupción en la que se han abordado desde diferentes perspectivas las novedades que puede implicar esta nueva Directiva. Más información sobre dicha jornada se puede encontrar en el fabuloso blog de la CNMC.