El Consejo de Ministros ha aprobado hoy, 13.09.2022, el Proyecto de Ley que regula la protección de las personas que informen sobre infracciones que vulneren el ordenamiento europeo y nacional, con el objeto de transponer la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión Europea (UE).

El objeto de la Directiva es proteger a todas aquellas personas que informen sobre corrupción o fraudes y violaciones del Derecho de la Unión Europea y del ordenamiento jurídico interno, mediante el establecimiento de canales protegidos de información y la prohibición de cualquier represalia contra ellas.

Con este Proyecto de Ley, no solo se transpone la Directiva europea, conocida como «Whistleblowing«, sino que se da cumplimiento a una serie de objetivos del Plan y acción del Gobierno en la lucha contra la corrupción, incluidos en el Plan de Gobierno abierto 2020-2024; proteger a las personas informantes es prioritario en la lucha integral contra la corrupción, tanto en el ámbito público como en el privado.

Medidas que establece la nueva norma.

El Proyecto de Ley establece, entre otras medidas, un régimen jurídico que garantiza la protección efectiva de aquellas personas que, tanto en el seno de organizaciones públicas como privadas, comuniquen información relativa a infracciones del Derecho de la Unión Europea y del Derecho nacional.

Con esta norma, cualquier ciudadano, y cualquier empleado público, podrá poner en conocimiento las operaciones, subvenciones y adjudicaciones sospechosas, en el ámbito de la contratación o del resto del ordenamiento, y se le deberá de conferir una protección real y efectiva ante cualquier represalia al informante y a su entorno.

La norma regula los sistemas internos de información («canales de denuncias» en la Directiva) como cauce preferente, dentro de la libertad del informante para elegir el canal a seguir según las circunstancias y los riesgos de represalias que considere, y garantizando asimismo el respeto a la legislación específica en la materia y para distintos sectores como son el financiero, de seguros, de auditoría, de competencia o de mercados de valores.

Canales internos de denuncia para empresas de más de 50 trabajadores.

También se establece la obligación de disponer de canales internos de información para empresas con más de 50 trabajadores. Igualmente, se obliga a contar con un sistema interno de información a todos los partidos políticos, sindicatos, organizaciones empresariales, así como a las fundaciones que de los mismos dependan siempre que gestionen fondos públicos, con independencia de su número de empleados.

En el caso de los municipios cuya población no supere los 10.000 habitantes, pueden compartir medios para la recepción de informaciones con otros ayuntamientos también de menor población; así como con entidades supramunicipales, si sus actividades se circunscriben al ámbito de la misma comunidad autónoma.

Del mismo modo, la nueva norma permite formular las denuncias realizadas de manera anónima, al igual que en otros modelos de protección del informante a nivel europeo, internacional o autonómico ya implantados. Esto supone una auténtica novedad, en relación con algunos cauces de información implantados en algunas Administraciones.

El proyecto contempla que los plazos para la realización de las investigaciones y para dar respuesta al informante, no serán superiores a tres meses, siguiendo la línea marcada por la Directiva, con posibilidad de prórroga si la especial complejidad de la investigación lo aconseja.

Protección de datos.

El anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, por la que se transpone la Directiva (UE) 2019/1937 (Directiva “Whistleblowing”) incorpora importantes modificaciones respecto a la protección de datos. Entre ellas:

  1. Hasta ahora, el artículo 24 de la Ley Orgánica 3/2018 (LOPDGDD) regula la creación y mantenimiento de sistemas de información internos. El proyecto de ley incorpora dicho precepto, si bien completa las previsiones hasta ahora incluidas en la LOPDGDD al objeto de extenderlas también a los tratamientos de datos que se lleven a cabo en los canales de comunicación externos y en los supuestos de revelación pública. En el anteproyecto de ley se incluye el Título VI de Protección de Datos personales, artículos 29 a 34.
  2. El art. 34.1 del proyecto de ley amplía la relación de sujetos obligados a nombrar Delegados de Protección de Datos que figura en el art. 34 LOPDGDD (casualmente, mismo artículo).

Artículo 34.1. Proyecto de Ley (…). Delegado de protección de datos.

Las entidades obligadas a disponer de un sistema interno de comunicaciones, así como los terceros externos que en su caso lo gestionen, cuando, conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, no tuvieran la obligación previa de su designación, deberán nombrar un delegado de protección de datos competente para todos los tratamientos llevados a cabo incluido dicho sistema interno de comunicaciones.

Como está establecido en la propia Directiva (UE) 2019/1937, todas las entidades del sector privado de más de 50 trabajadores están obligadas a disponer de un sistema interno de comunicaciones (‘canal de denuncias’).

Por lo tanto, el anteproyecto de ley obliga a todas las empresas de más de 50 trabajadores a nombrar un Delegado de Protección de Datos competente para todos los tratamientos llevados a cabo, incluido dicho sistema interno de comunicaciones.

Sanciones.

La norma contempla un detallado régimen sancionador para las acciones u omisiones que limiten los derechos y garantías introducidos en esta ley, especialmente las orientadas a obstaculizar, impedir, frustrar o ralentizar las informaciones.

Además, la ministra ha destacado que se sancionará la comunicación o revelación pública de información de infracciones del ordenamiento jurídico a sabiendas de su falsedad. En general, el procedimiento sancionador contempla multas que oscilan entre los 1.001 y los 300.000 euros, en el caso de personas físicas; y entre los 10.001 y el millón de euros, en el caso de las personas jurídicas.