Jurídic

El projecte de Llei Reguladora de la protecció de les persones que informi sobre infraccions

Laura España

Responsable del Departament de Compliance de Balañà&Eguia

Professora associada a la URV

lespana@balanaeguia.com

www.balanaeguia.com

Al 2019 es va publicar la Directiva (UE) 2019/1937, relativa a la protecció de les persones que informin sobre infraccions del Dret de la Unió. Aquesta Directiva parteix de la base que els Canals de Denúncia/Ètics no es fan servir, per por dels denunciants a patir represàlies, per poder existir una vulneració de la seva confidencialitat o per la falta de confiança en l'eficàcia de les denúncies.

És per això que aquesta Directiva vol augmentar la protecció del denunciant, així com establir mecanismes als efectes que els Canals de Denúncia/Ètics, tant interns com externs, puguin ser usats sense temor a represàlies.

A consecuència d'aquesta Directiva i als efectes de la seva transposició, recentment s'ha publicat al Butlletí del Congrés dels Diputats, el Projecte de Llei reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció.

El Projecte, seguint el que indica la Directiva, estableix l'obligació d'utilitzar canals (ara anomenats sistemes interns d'informació) de fàcil accés que siguin segurs, garanteixin la confidencialitat per rebre i tractar la informació proporcionada pel denunciant sobre infraccions i que permetin l'emmagatzematge durador d'informació, així com correctes pràctiques de seguiment, investigació i protecció al denunciant.

S'exigeix com a figura indispensable per a l'eficàcia dels sistemes interns d'informació, un responsable del sistema, que ha de reunir les capacitats i competències necessàries per garantir un seguiment adequat, també per valorar l'exactitud de les al·legacions formulades en la denúncia i per ocupar-se de les infraccions denunciades, a través de l'obertura d'una investigació interna.

Sobre això, les entitats que ja disposessin d'un responsable de compliment normatiu (també conegut com a Compliance Officer), podrà ser aquest la persona designada. En el cas de grups de societats, tant el responsable del sistema, com el sistema intern d' informació, poden ser un per a tot el grup.

El seguiment i la resposta al denunciant s' han de produir en un termini raonable, atesa la necessitat d' abordar amb promptitud el problema que sigui objecte de denúncia, així com la necessitat d' evitar la revelació pública innecessària d' informació.

El Projecte de Llei presentat davant el Congrés dels Diputats disposa quant a la transposició de la Directiva:

  • Que la Llei entrarà en vigor als 20 dies de la seva publicació al BOE;
  • Un termini màxim de 3 mesos des d' aquesta entrada en vigor perquè les organitzacions obligades a implantar els canals el materialitzin. Com a excepció, per a les entitats jurídiques del sector privat amb menys de 249 treballadors i municipis de menys de 10.000 habitants, el termini s'estén fins a l'1 de desembre de 2023.

Com a qüestió important a destacar, el text exigeix comptar amb un procediment de gestió de les comunicacions amb les característiques següents: es permet la gestió del sistema per un tercer extern que ofereixi garanties adequades respecte de la independència, confidencialitat, protecció de dades i secret; els sistemes interns d' informació han depermetre realitzar comunicacions de forma anònima, tant en la presentació com en la posterior tramitació, mantenir la comunicació amb l'informant, així com el dret de l'informant a què s' informi de les accions o omissions que se li atribueixen, i a ser escoltat en qualsevol moment.

Aquest procediment de gestió de les comunicacions ha de ser aprovat pel responsable del sistema, i ha de preveure les diferents fases que seguirà la comunicació des que s'efectuï fins a la seva resolució, juntament amb els seus terminis, i els principis en què s'inspira aquest procediment. En tot cas, la durada màxima de les actuacions de recerca no pot ser superior a tres mesos.

Tot això juntament amb la resta de requisits que exigeix el Projecte que ha de reunir el sistema intern d'informació, provoca que el correu electrònic corporatiu que s'ha implementat molt sovint com a Canal de Denúncia/Ètic, ja no podrà emprar-se en no tenir cap tipus de validesa legal, atès que no compleix amb les estrictes condicions exigides al no poder,entre d'altres, garantir la completa confidencialitat.

A més, el Projecte recull un estricte règim sancionador per a les societats incomplidores, on distingeix entre infraccions lleus, greus o molt greus, imposant multes la quantia de les quals varia en funció de la infracció.