Aproximación al Anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción por la que se transpone la Directiva Whistleblowing

Autor: Carlos Cambrón Murillo, responsable del área de certificación de personas 

A pesar de que en fecha 17 de diciembre de 2021, debería haberse transpuesto la Directiva Whistleblowing, y por la que posteriormente se inició procedimiento de sanción contra España y otros países de la Unión Europea, el Ministerio de Justicia, a fecha de 08 de marzo de 2022, publicó en trámite de audiencia pública el contenido íntegro del Anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, por la que se transpone la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019.

En el presente artículo, vamos a detallar el contenido del Anteproyecto (conformado por nueve títulos, tres disposiciones adicionales, cuatro disposiciones transitorias y ocho disposiciones finales) que, además, se encuentra desde el día de su publicación, en plazo para presentar aportaciones públicas Al Anteproyecto de Ley hasta el día 17 de este mes.

Debemos destacar que las finalidades de la norma son claramente dos: el establecimiento de normas mínimas de regulación de los canales de denuncia, y la protección de los informantes.

TÍTULO I – Finalidad de la ley y ámbito de aplicación

El Título I establece, en relación con el ámbito de aplicación, que la protección se extiende a quienes adviertan de vulneraciones al ordenamiento jurídico y que afecten directamente al interés general. Esto se traduce en conductas que afecten a los intereses financieros estatales y a la imparcialidad de los organismos, favoreciendo prácticas corruptas, tales como el clientelismo o el nepotismo. Entre los informantes están los siguientes:

• Personas con vínculos profesionales tanto del sector público como privado
• Quienes hayan finalizado su relación laboral
• Voluntarios
• Trabajadores en prácticas o en periodo de formación
• Personas que participen en proceso de selección
• Personas que prestan asistencia a los informantes
• Personas jurídicas propiedad del informante

Cabe tener en consideración que el informante tiene que actuar de buena fe, pues es requisito indispensable para su protección. De lo contrario, dicha protección sería retirada al informante (hablamos de supuestos de remisión de información falsa, tergiversadas u obtenidas ilícitamente). 

TÍTULO II – Sistemas internos de comunicación

El Título II regula el régimen jurídico de los sistemas internos de comunicación que tiene como fin, el ejercicio de canalizar la información de manera diligente y eficaz para evitar aquellos perjuicios derivados de las actuaciones investigadas. El responsable de la implantación del sistema interno de información será el órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley (artículo 5). Asimismo, estos órganos serán los competentes para designar a la persona encargada de la gestión del sistema interno de información. Dentro de este régimen jurídico, resulta imprescindible que dichos sistemas satisfagan ciertas exigencias:

• Uso debido del canal
• Garantías de confidencialidad
• Buenas prácticas de seguimiento
• Investigación y protección del denunciante
• Designación de un responsable de su efectivo funcionamiento

En dicho título, se establece la obligatoriedad de sistemas internos de comunicación a nivel del sector privado[1], público[2], destacando los partidos políticos, sindicatos, organizaciones empresariales y fundaciones.

En primer lugar, las organizaciones del sector privado están obligadas a configurar estos sistemas internos en las empresas con más de cincuenta trabajadores, y en los supuestos de grupos de empresas, la organización de los canales de denuncia será decidida por la empresa dominante.

En segundo lugar, las Administraciones públicas, autoridades independientes, organismos de gestión de los servicios de la Seguridad Social, universidades, sociedades y fundaciones del sector público y Corporaciones de Derecho Público han de disponer de un sistema interno de comunicación.

Por último, será obligatorio que los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones, dispongan de un sistema interno de comunicaciones, siempre y cuando reciban fondos públicos para su financiación. Dicha obligatoriedad, tiene como expectativa erradicar indicios de nepotismo, clientelismo, malversación de fondos públicos o financiación irregular, entre otros.

TÍTULO III – Canal externo de comunicaciones

El título III aborda la regulación específica del canal externo siguiendo obviamente los criterios de la Directiva. Cualquier persona podrá informar al canal externo directamente, o con posterioridad a la previa comunicación al canal interno.

En este apartado se plasma el proceso de recepción de las comunicaciones (anónima o con reserva de identidad del denunciante), así como la forma (verbal o escrita), y el proceso de trámite de admisión de la comunicación, sin perjuicio de remisión a otra autoridad competente que pudiera resolver la tramitación. Según el Anteproyecto, con la admisión del trámite comienza la fase de instrucción, que finaliza con la emisión de un informe de la Autoridad Independiente de Protección del Informante (AIPI), quien podrá realizar las siguientes actuaciones:

• Archivo del expediente
• Inicio del procedimiento sancionador, sin perjuicio de poner en conocimiento al Ministerio Fiscal o a la Fiscalía Europea
• Remisión de la información a otra autoridad u organismo competente, en caso de que así proceda.

A tenor de lo indicado en la Directivo, el plazo de instrucción y respuesta al informante no sea superior a tres meses.

La resolución que tome la AIPI no será objeto de recurso administrativo ni jurisdiccional, salvo de una posible impugnación a la resolución que suponga el fin del proceso sancionador, incoado por investigaciones realizadas.

Por último, se prevé en este título los derechos y garantías del informante dentro del proceso de comunicación externa ante la AIPI.

TÍTULO IV – Disposiciones comunes a los canales internos y externos

En este apartado se contienen las disposiciones comunes a las comunicaciones internas y externas, por la que se obliga proporcionar información clara y accesible respecto de ambos canales para un mejor conocimiento de dichos medios de comunicación.

TÍTULO V – Revelación pública

La protección específica de los informantes en las comunicaciones internas y externas no tiene alcance en los supuestos de aquellas personas que difunden públicamente las informaciones de las que disponen. No obstante, este título regula los supuestos en los que sí extender esta protección. Son las siguientes:

• Cuando las comunicaciones internas y externas no han sido efectivas o;
• Cuando se comunique de una amenaza inminente para el interés general

TÍTULO VI – Protección de datos personales

Con la transposición de la Directiva, para garantizar el cumplimiento de la legislación de protección de datos personales, debemos remitirnos conforme a esta ley, a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD).

Es de primordial interés la referencia al artículo 24 LOPDPGDD, que, hasta el momento, regulaba la creación y mantenimiento de los canales internos. Este precepto se ha incluido en esta ley, debiendo, sin embargo, extender sus previsiones a los tratamientos de datos que se den en las comunicaciones externas y de revelación pública. Además, en el articulado de este título se prevén condiciones especiales sobre los tratamientos de datos para garantizar la protección de datos y la identidad de los informantes y de las personas investigadas.

Es importante mencionar también, que la identidad del denunciante no estará sujeto al derecho de acceso a datos personales, y se limita la comunicación de dicha identidad a la autoridad judicial, Ministerio Fiscal o autoridad competente, siempre que se impida el acceso a terceros.

TÍTULO VII – Medidas de protección

Este título es sin duda fundamental en el Anteproyecto, ya que es uno de los objetivos de la misma. Se establece como primera medida la declaración de prohibición de conductas que puedan calificarse como represalias, ofreciéndose varios supuestos, y sin una lista exhaustiva, tal y como se da en el artículo 19 de la Directiva.

Por supuesto, se prevé que queden sin efecto cualquier cláusula contractual que limite el derecho o la capacidad de comunicar (cláusulas de confidencialidad), así como la exención de responsabilidad en la obtención de información relevante.

Las medidas de protección no solamente recaerán sobre los informantes, sino también sobre aquellos que salgan referidos en los hechos comunicados en los supuestos de que la información haya sido manipulada o falseada. En estos casos, estas personas tienen garantizadas sus derechos de tutela judicial efectiva y defensa, confidencialidad y reserva de identidad y la presunción de inocencia.

TÍTULO VIII – Autoridad Independiente de Protección del Informante

La AIPI (ya mencionada en el Título III), surge a raíz de lo estipulado en el Considerando 64 de la Directiva, es decir, que, a criterio de cada Estado miembro, se determine la autoridad competente para recibir la información sobre infracciones que estén dentro del ámbito de aplicación de la misma.

El AIPI resulta como la figura fundamental del sistema institucional de protección al denunciante. Según la norma, su naturaleza como ente de derecho público con personalidad jurídica propia, y de carácter independiente y autónomo, permitiría cumplir satisfactoriamente las funciones que la Directiva atribuye a cada Estado miembro. Entre las funciones de la AIPI, están las siguientes:

• Llevanza del canal externo
• Condición de órgano consultivo y de asesoramiento al Gobierno en materia de protección al denunciante
• Elaboración de modelos de prevención del delito en el ámbito público
• Asunción de la competencia sancionadora en la materia

Asimismo, la AIPI tiene la capacidad de ejercer una potestad normativa y sancionadora. Respecto la primera, mediante la emisión de circulares y ejecución de normas reglamentarias, así como la posibilidad de elaborar circulares, recomendaciones y directrices que incluyan criterios y prácticas idóneas para cumplir con las disposiciones de esta ley y de otras normas que la desarrollen. Respecto a la potestad sancionadora, de conformidad con la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público.

A nivel organizativo, la AIPI se estructura en una presidencia, órgano de gobierno de la Autoridad, que dispondrá de una Comisión Consultiva de carácter técnico, cuyos integrantes proceden bien de la Administración Pública, bien de organismos reguladores o supervisores.

 TÍTULO IX – Régimen sancionador[3]

Muy brevemente, en este apartado se establece el régimen sancionador, como consecuencia de hacer frente aquellas actuaciones o conductas que conlleven represalias contra los comunicantes.

DISPOSICIONES ADICIONALES

Tres disposiciones adicionales en relación con el canal de comunicaciones de la Casa de Su Majestad el Rey, a la revisión de carácter periódica de los procedimientos de recepción y seguimiento de las comunicaciones, a los convenios de suscripción entre el Estado y las CC. AA para atribuir al AIPI competencias de gestión del canal externo en el ámbito autonómico.

DISPOSICIONES TRANSITORIAS

Cuatro disposiciones transitorias de regulación de los canales internos habilitados, adaptación de sistemas internos de comunicación existentes y su implantación por los sujetos obligados en el plazo de tres meses, así como la previsión presupuestaria de la AIPI.

DISPOSICIÓN FINAL

Ocho disposiciones finales por las que se modifican las siguientes normas:

• Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa (inclusión de la AIPI)
• Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de financiación del terrorismo
• Ley 09/2017, de 8 de noviembre, de Contratos del Sector Público
• Ley Orgánica 03/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (a efectos de tratamiento de datos para la protección de los denunciantes sobre infracciones normativas
• Incorporación de la Directiva Whistleblowing al ordenamiento jurídico nacional
• Títulos competenciales (artículo 149.1. 1ª, 6ª, 7ª, 13ª, 18ª y 23ª de la Constitución Española)
• Cláusula de habilitación normativa
• Entrada en vigor (a los veinte días de su publicación en el BOE)

¿QUÉ REFLEXIONES CRÍTICAS PODEMOS EXTRAER?

Una de las primeras impresiones del Anteproyecto, es que el mismo recoge de modo general el término “Comunicación”, que no el de “Denuncia”. Por otro lado, estamos ante una ley reguladora que, por su contenido, parece que no tenga un carácter orgánica. Sin embargo, y habida cuenta que el título VI aborda aspectos relativos a la protección de datos, además que, como establece la disposición final, se modifica la LOPDPGDD, entenderíamos que deberíamos estar ante una Ley Orgánica que trata de garantizar el cumplimiento de derechos fundamentales, como es el caso de la protección de las personas por medio del tratamiento de datos personales, conforme el artículo 18.4 de la Constitución Española.

Otra problemática que podemos encontrar es el referido al artículo 9.5, que dice:

“En el caso del sector privado, el Responsable del Sistema persona física o la persona en quien el órgano colegiado responsable haya delegado sus funciones, será un alto directivo de la entidad, que asumirá exclusivamente dichas funciones y que ejercerá su cargo con independencia del órgano de administración o de gobierno de la misma”

Nos indica dicho artículo que es una exigencia que el Responsable del Sistema sea un alto directivo de la organización. Deberíamos plantearnos en este sentido, si no es más conveniente poder externalizar esa figura del Responsable del Sistema y, además, el porqué de la exclusividad de dichas funciones. Debemos tener en consideración que existen comités de compliance conformados por distintos directivos.

Por último, no se hace una mención expresa o referencia a la Ley 11/2018, de 28 de diciembre, en materia de información no financiera y diversidad, dado que en dicha ley tiene como objetivo que las organizaciones preparen un estado de información no financiera que contenga información sobre la evolución, resultados, situación e impacto de sus actividades en cuestiones medioambientales y sociales, así como aquellas relativas al respeto a los derechos humanos y la lucha contra la corrupción y el soborno.

Sobre al autor

Carlos Cambrón es especialista en compliance por el Ilustre Colegio de la Abogacía de Barcelona. Además, es especialista en Derecho de Empresa por la Universidad Autónoma de Barcelona. Actualmente, se desempeña como responsable del área de certificación de personas de la WCA.

Cuenta con un blog dedicado al compliance y al derecho penal, ¿Hay Compliance?: https://haycompliance.blogspot.com/