Nueva Ley Whistleblowing y relación con el RGPD


El pasado 21 de febrero publicaron en el BOE la nueva Ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, que entrará en vigor a partir del 14 de marzo.

Hoy queremos resolverte algunas dudas respecto a esta nueva ley: los derechos que tienen las personas informantes o denunciantes, el objetivo que hay detrás de la ley, quién debe cumplirla y qué sanciones se impondrán en el caso contrario o la relación que tiene con la normativa de protección de datos, entre otras dudas.

¿Qué objetivo tiene la ley Whistleblowing?

Con esta nueva ley se pretende fomentar la transparencia, ética y responsabilidad en las empresas y organismos públicos, promoviendo una cultura de integridad y prevención de la corrupción.

De esta forma, se garantiza la protección de los ciudadanos que informan sobre vulneraciones e infracciones normativas y actos de corrupción en el ámbito laboral, profesional y empresarial y, a su vez, se asegura la investigación de dichas denuncias.

La nueva ley también establece una serie de medidas de protección y garantías para los denunciantes que informen sobre este tipo de conductas y prevé sanciones para las entidades que incumplan sus obligaciones en esta materia.

¿Cuándo se debe aplicar la ley Whistleblowing?

Las empresas privadas que tengan entre 50 y 249 trabajadores y los municipios que tengan menos de 10.000 habitantes tendrán hasta el 1 de diciembre de 2023 para implementar su sistema de denuncias.

En cambio, el resto de entidades están obligadas a implementarlo antes de mediados de junio de 2023, aproximadamente, contando tres meses desde la entrada en vigor de la nueva ley.

¿Qué entidades deben aplicar la ley Whistleblowing?

Esta ley será obligatoria en todo el territorio español para todas las personas físicas o jurídicas que realicen actividades tanto públicas como privadas.

Las entidades públicas y las empresas privadas que tengan más de 50 trabajadores deberán implementar un canal de denuncias de forma obligatoria.

¿Cuáles son las infracciones y actos de corrupción que quiere combatir esta ley?

  • El incumplimiento de las normativas laborales y de seguridad social.
  • La comisión de delitos fiscales o contra la Hacienda Pública.
  • La comisión de delitos de corrupción, como la malversación de fondos públicos o el cohecho.
  • La vulneración de los derechos humanos y libertades fundamentales en el ámbito laboral.

¿Cuáles son los derechos que reconoce esta ley para proteger a los “informantes”?

A todas las personas “informantes” o denunciantes de cualquier infracción normativa o acto de corrupción, se les garantiza una serie de derechos para su protección y para evitar represalias por dicha denuncia:

  • Derecho a recibir información sobre los procedimientos de protección previstos por la ley, así como sobre los derechos y garantías que les corresponden.
  • Derecho a recibir asesoramiento jurídico gratuito y especializado, tanto antes como después de la comunicación de la infracción.
  • Derecho a la protección de su identidad a través de medios que garanticen la confidencialidad de la misma, salvo en los casos en que su revelación sea necesaria para la protección de los derechos de defensa o de los intereses generales.
  • Derecho de acceso a los medios necesarios para poder llevar a cabo la denuncia de forma diligente y eficaz. Es decir, que las empresas y organismos públicos cuenten con un sistema de información que permita la recepción y gestión de este tipo de denuncias, y que estas sean tratadas adecuadamente, investigar las denuncias recibidas y tomar medidas para prevenir futuras infracciones.
  • Derecho a la protección contra represalias sufridas por la comunicación de la infracción (tales como discriminación, un despido, reducción de salario, acoso laboral, entre otros) llevadas a cabo por parte de la empresa, la administración o cualquier otra entidad.
  • Derecho a ser informado sobre el estado de las investigaciones.
  • Derecho a la restitución de posibles perjuicios sufridos como consecuencia de la comunicación, incluyendo la reparación del daño moral y material.
  • Derecho a que las empresas y organismos públicos colaboren con las autoridades competentes en la investigación de las denuncias recibidas.

¿Qué relación tiene la ley con la normativa de protección de datos?

Tanto la ley Whistleblowing como el RGPD se complementan, ya que en la nueva ley 2/2023 se establecen una serie de medidas para garantizar la protección de datos personales:

  • La recepción y gestión de las denuncias debe ser tratada con la debida confidencialidad, tanto antes como después de su recepción, y la identidad de los denunciantes debe estar protegida en todo momento.
  • La recopilación y tratamiento de datos personales se realizará con el consentimiento explícito del denunciante, y estos datos solo podrán ser utilizados para los fines específicos de investigación y seguimiento de la denuncia.
  • Se deberá informar a los denunciantes sobre sus derechos en relación con el tratamiento de sus datos personales.

¿Es obligatorio contar con la figura de un DPD?

Hay cierta confusión en este aspecto, ya que de acuerdo con lo que dispone el artículo 37.1a del RGPD, la autoridad independiente de protección del informante y las autoridades independientes que en su caso se constituyan, deberán nombrar un DPD (Delegado de Protección de Datos).

Aunque es cierto que la nueva Ley no establece esta obligación de forma específica en el artículo 34, el preámbulo de la Ley sí establece esta obligación de forma expresa. Esto sería consecuencia directa de la aplicación del RGPD y LOPDGDD al Canal de Denuncias.

En los próximos meses veremos si aclaran más este aspecto o si se trata de un error.

¿Qué sanciones puede tener una organización por incumplir esta normativa?

La ley establece sanciones para aquellas personas o entidades que incumplan sus disposiciones, lo que hace que su cumplimiento sea obligatorio y su no cumplimiento puede resultar en consecuencias legales y financieras, de carácter administrativo o penal, dependiendo de la gravedad de la infracción.

Las sanciones administrativas pueden ser impuestas por la A.A.I.  y las sanciones penales pueden ser impuestas por los tribunales de justicia. Estas son algunas de las sanciones que puede tener una organización pública o privada:

  • Multas
  • Penas de prisión
  • La suspensión temporal o definitiva de actividades
  • La pérdida de ayudas o subvenciones públicas
  • La obligación de restablecer el derecho vulnerado
  • La realización de medidas correctivas

Además, la ley establece que cualquier represalia o discriminación contra los informantes será considerada como una infracción y será sancionada con una multa de hasta 300.000 euros. También se establece que los informantes no podrán ser sancionados por informar de buena fe sobre una posible infracción normativa o acto de corrupción.

Es importante destacar que la propia ley establece medidas de protección y no represalias para los denunciantes, lo que significa que cualquier sanción o medida disciplinaria que se tome contra un denunciante como consecuencia de su denuncia será considerada nula.

Si tienes una empresa con más de 50 trabajadores debes implementar el Canal de Denuncias. Desde PymeLegal tenemos la solución que necesitas: una herramienta de gestión y trámite de denuncias que garantiza la seguridad y el procesamiento adecuado.

Contacta con nuestro equipo y te ayudaremos a implementarlo y cumplir con la nueva Ley Whistleblowing.

El equipo de PymeLegal