Reflexiones sobre los sistemas internos de información (el conocido como canal de denuncias)

Pedro-Bautista Martín Molina (Grupo Martín Molina)
Abogado, economista y auditor. Doctor y profesor titular. UNED

Descargar pdf

1. Qué es un canal de denuncias interno

Un canal de denuncias interno consiste en un sistema de alertas que avisa a la unidad responsable de cumplimiento normativo sobre presuntas malas prácticas en la gestión de una empresa u organización que puedan suponer un riesgo para la corporación, y poder así combatirlas. Se convierte en la vía de comunicación interna a través de la cual la empresa recibe y gestiona las comunicaciones (denuncias), hechas por los miembros de la propia empresa o por otras personas vinculadas a ella, sobre posibles conductas irregulares o ilícitas de las que puedan haber sido testigos o tengan conocimiento y sean contrarias a las normas de la empresa, tanto internas como externas, o contrarias a las normativas nacionales o internacionales vigentes. La denuncia de dichas comunicaciones se traslada al órgano o comité interno para que investigue las denuncias recibidas.

La prioridad de estos canales es proteger a las personas que denuncian, en especial, a las que trabajan en la organización o están relacionadas con esta. La herramienta tiene que permitir realizar el aviso de forma completamente confidencial y, en su caso, anónima, si el informante (denunciante) así lo desea.

Existen unos riesgos reputacionales y económicos de no investigar a tiempo una posible práctica irregular y que esta salga a la luz de manera negativa, pues afecta a la imagen percibida, a la confianza y al prestigio. Por este motivo, en dicho canal, los denunciantes transmiten la información a través de un sistema seguro que debe evitar filtraciones que dañen la reputación de la empresa.

Este canal de denuncias interno es una herramienta esencial de cualquier plan o pro- grama de compliance o cumplimiento normativo y un requisito del plan de prevención de delitos penales –tal y como recogen la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción y el art. 31 bis del Código Penal–.

Por ello, la relación entre el canal de denuncias y el compliancees evidente, porque, si no existe un eficiente canal de denuncias, el sistema de gestión de complianceva a ser insuficiente.

Además, el artículo 31 bis del Código Penal establece, como requisito indispensable de un plan de prevención de delitos penales, implementar un canal de denuncias interno.

También afecta a la protección de datos, puesto que la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, en su artículo 24 recoge el funcionamiento de los sistemas de información internos en cuanto a protección de datos de los informantes, denunciados y testigos.

A la hora de gestionar el canal de denuncias de la empresa, resulta imprescindible contar con la figura del delegado de protección de datos (DPO), ya que se trata de información altamente confidencial y que puede suponer riesgos para los interesados, tanto para el denunciante como para el trabajador objeto de la denuncia.

Por último, hay que destacar que la propia directiva incluye la obligación para los Esta- dos miembros de crear unos canales de denuncia, tanto a nivel interno como externo a la organización, en los que se garantice la confidencialidad. Para ello, se establecen 3 niveles:

• El canal de denuncias en la propia entidad, a nivel interno.
• Si este canal no realiza su función adecuadamente, se pasa al siguiente nivel, que es el canal de las autoridades competentes.
• Si las autoridades no actúan o se prevén peligros inminentes, la norma prevé el uso de los medios de comunicación.

2. Cuáles son los objetivos del canal de denuncias interno

El canal de denuncias en empresas sirve para cumplir con dos finalidades: (a) por un lado, persigue la comisión de delitos e infracciones en el desarrollo de las actividades de las empresas y, (b) por otro, proteger de una manera mucho más efectiva a los informantes.

Desde el punto de vista de la finalidad como sistema para prevenir y perseguir la comisión de delitos e infracciones, el canal de denuncias interno busca cumplir con los siguientes objetivos:

• Detectar, de forma anticipada, las posibles irregularidades o conductas contrarias a la ley o la normativa interna de la empresa.
• Combatir la comisión de irregularidades o delitos, ya sea por desconocimiento de la norma o por prácticas malintencionadas, en las siguientes áreas:
  • Contratación pública.
  • Competencia.
  • Servicios financieros.
  • Protección del medio ambiente.
  • Seguridad nuclear.
  • Sanidad animal.
  • Seguridad de los productos, de los alimentos y del transporte.
  • Salud pública.
  • Protección de los consumidores.
  • Protección de datos y privacidad.
  • Mercado interior e intereses financieros de la Unión Europea.
  • Fraudes y estafas.
  • Blanqueo de capitales.
  • Irregularidades con la Seguridad Social o la Agencia Tributaria.
• Demostrar la eficacia del sistema de gestión de compliance y los controles del mismo.
• Hacer un uso apropiado del régimen disciplinario de la empresa y castigar a quienes cometen irregularidades o conductas ilícitas dentro de la misma.
• Colaborar con la investigación judicial –si se produce un procedimiento penal relativo a la empresa–.
• Atenuar o eximir la responsabilidad penal de la empresa –en el caso de que se haya cometido un delito por parte de uno de sus miembros–.

Respecto al canal de denuncias como sistema para proteger a los informadores de cualquier forma de represalia en su contra, su finalidad es que más personas se decidan a dar el paso y denunciar aquellas irregularidades o comportamientos en contra de la ética y la normativa interna de la organización.

3. Las ventajas y las características de un canal de denuncias interno

La implementación de un canal de denuncias en las empresas aporta una serie de ventajas a las organizaciones, destacando, entre otras, las siguientes:

• La detección temprana de las conductas delictivas o ilícitas: se ponen freno antes de que sean más graves y supongan mayores daños para la empresa, tanto eco- nómicos como reputacionales.
• La presentación de denuncias anónimas: aumenta las posibilidades de que más miembros de la entidad recurran a este medio para denunciar conductas ilícitas u otros comportamientos nocivos.
• La investigación y sanción interna: se permite resolver problemas dentro de la empresa, sin llegar a los tribunales, e incluso sin que trascienda públicamente, lo que minimiza el impacto en la reputación de la empresa.
• La promoción de una cultura ética y transparente dentro de la empresa.

Todo sistema de información interno eficiente debe cumplir con los siguientes requisitos y características:

• El canal de denuncias debe ser fácil de usar y ser accesible. Tanto para los miembros o empleados de una organización como para todas aquellas personas que puedan comunicar una irregularidad de la que hayan sido testigos a través de él.
• La garantía de la confidencialidad y del anonimato. Es imprescindible salvaguardar la identidad de los informantes (denunciantes) ante posibles represalias.

En este sentido, queda prohibido el despido, la degradación, la negación de ascensos, la modificación sustancial de las condiciones de trabajo o cualquier otra acción similar como fórmula de represalia y amenaza. Asimismo, también se prohíbe y se persigue cualquier forma de acoso laboral o daño a la reputación del informante.

Esta protección tendrá una duración de dos años desde la finalización del proceso de investigación.

• La formación a los empleados. Mientras que la empresa ha de comunicar la existencia de un canal interno de denuncias, su funcionamiento y los objetivos que persigue, los empleados deben conocer el proceso y el formato de presentación de la denuncia, así como la comunicación de la misma a la persona afectada.

Para tal fin se elabora un «reglamento del canal de denuncias» y se comunica a todo el personal de la empresa y otras personas relacionadas.

Además, la empresa tiene la obligación de informar a los representantes de los trabajadores sobre este canal interno de denuncias.

• La revisión periódica del funcionamiento del canal de denuncias. Si es necesario, se puede solicitar una auditoría externa que permita detectar y subsanar posibles errores.
• La implantación de un régimen sancionador adecuado. Un sistema disciplinario que penalice el cumplimiento de la ley o las normativas internas de la empresa.

En cuanto a la recepción y la administración de las denuncias recibidas, la empresa debe contar con un equipo preparado. Surge la figura del «responsable del sistema de información interno», que puede ser tanto una sola persona como un órgano colegiado (normalmente está formado por personas que forman parte de la junta o del área de los recursos humanos); además, pueden estar asistidos por un gestor externo al canal de denuncias. Este equipo se ocupa de recepcionar las denuncias, analizarlas y, en su caso, comunicarlas al responsable, si estiman que deben ser tramitadas mediante un proceso de investigación interna.

4. La implementación de un canal de denuncias interno y su funcionamiento

Los pasos necesarios para crear y poner en marcha un sistema de canal de denuncias son:

4.1. La creación de unas vías de comunicación

Dentro de la gestión interna del canal de denuncias, es preciso establecer las vías de comunicación que se van a utilizar para presentar las denuncias, teniendo en cuenta que este sistema tiene que garantizar el anonimato de los denunciantes –si estos optan por pre- sentar una denuncia anónima–.

Es frecuente que se habilite un buzón de denuncias que se gestione a través de una plataforma web para que resulte más fácil la presentación de denuncias anónimas, ya que no hay que introducir una dirección de correo electrónico. También se puede usar una línea telefónica de denuncias o una dirección postal a la que enviarlas. En cualquier caso, se recomienda elegir una única vía, es decir, un único formato unificado, para que la gestión y la tramitación de las denuncias resulte más eficiente.

4.2. El nombramiento de un responsable

El responsable que se va a nombrar no tiene por qué ser una única persona, sino que es una función que puede desempeñar un equipo o un órgano colegiado.

Este responsable tiene una función definida: la de recibir las denuncias y determinar si deben o no tramitarse, es decir, dar comienzo al proceso de investigación interna para esclarecer los hechos. La figura de este responsable no tiene que ser necesariamente el mismo comité de investigación de denuncias internas que pueda existir en la empresa, aunque, en las empresas pequeñas, el responsable y el comité de investigación compartan funciones.

En cualquier caso, el responsable debe ser un alto directivo de la empresa, con total independencia del órgano de administración y que asuma en exclusiva las funciones que conlleva la gestión del canal de denuncias. En las empresas más pequeñas no es necesaria esa exclusividad y el responsable puede tener otro cargo y otras funciones.

4.3. La redacción de un reglamento para el canal de denuncias

La empresa ha de elaborar y redactar un reglamento que permita utilizar el sistema de denuncias de una forma correcta y no abusiva. En ese sentido se expresa la directiva europea a la hora de establecer una serie de pautas sobre cómo debe ser, cómo debe funcionar el canal de denuncias y qué debe contener su reglamento.

Así pues, el reglamento del canal de denuncias contiene unas instrucciones que permiten dar a conocer su funcionamiento. Con este reglamento del canal de denuncias, que ha de estar disponible para todos los miembros de la empresa y redactado de forma clara y comprensible, se explica su funcionamiento y los objetivos que se persiguen con él. Debe contener la información mínima necesaria para que su funcionamiento resulte claro y los miembros de la empresa sepan cuándo y cómo deben usarlo y qué esperar del procedimiento tras la presentación de la denuncia.

En cuanto al contenido de este reglamento, se recoge su marco normativo y su ámbito de aplicación, así como la dirección del propio canal (dónde deben remitirse las denuncias) y el procedimiento del canal de denuncias, esto es, cómo se presentan las denuncias, cuál es el órgano competente para recibirlas y tramitarlas, los derechos de denunciantes y denunciados, cómo funciona el proceso una vez presentada la denuncia y los posibles resultados, entre otros aspectos.

La estructura mínima que ha de contener este reglamento se expresa a continuación.

A) Un marco normativo

Ha de quedar recogido de forma expresa que el marco normativo en el que se basa es, por un lado, las Leyes orgánicas 5/2010 y 1/2015 de modificación del Código Penal, donde se recoge el plan de prevención de riesgos penales, que debe contar con la implantación de un canal de denuncias; por otro lado, la Directiva UE 2019/1937; y, por último, la Ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

Además, se ha de puntualizar que es un canal al servicio de todas las personas trabajadoras de la empresa y que su objetivo es el de servir de instrumento para presentar denuncias sobre actividades ilícitas o infracciones dentro de la empresa de las que hayan podido ser testigo y que respeta la normativa de protección de datos.

B) El ámbito de aplicación

El ámbito objetivo hace referencia a las áreas sobre los que se pueden realizar las denuncias a través del canal (como pueden ser posibles infracciones penales, civiles, mercantiles, administrativas o tributarias cometidas por cualquier miembro de la empresa). Todas las medidas de protección del denunciante también se extienden a los facilitadores, terceros relacionados con el denunciante.

En cuanto al ámbito subjetivo, se remite a las personas que pueden usar el canal de denuncias.

C) El órgano competente

Se decide cuál va a ser el órgano competente para llevar el seguimiento y cumplimiento de lo recogido en el propio reglamento del canal de denuncias, así como del trámite y de la resolución de las denuncias. Este órgano competente puede ser el órgano de cumplimiento de la empresa.

D) Los medios de comunicación de la denuncia

Una vez explicados cuáles son los medios que se pueden utilizar para remitir la denuncia, se ha de especificar cuál es la vía a utilizar: digital, una dirección de correo electrónico o un enlace web.

E) Los requisitos de la denuncia

Se enumeran los requisitos que debe contener la denuncia.

• La identificación del denunciante.
• La irregularidad o la infracción denunciada.
• La aportación de documentos o evidencias (si es posible).
• La identificación de los responsables de la irregularidad o infracción (si son conocidos).

F) Los derechos del denunciante

Que se especifiquen los derechos y deberes respecto del denunciante sirve como medio para proteger tanto sus datos personales como de las posibles represalias.

Respecto a los derechos del denunciante:

• El derecho a estar informado sobre la existencia del canal.
• El derecho a la confidencialidad.
• El derecho al anonimato del denunciante.
• El derecho a la protección de datos de carácter personal.
• El derecho a la no represalia.
• El derecho a ser informado de la resolución o archivo de la denuncia.

La Directiva 2019/1937 Whistleblowing ha reforzado la protección de los denunciantes, permitiendo el uso de un canal de denuncias anónimas, que efectivamente les proteja. En el artículo 6 de esta directiva se recoge que los denunciantes tendrán derecho a protección ante la notificación de una denuncia en los siguientes casos:

• Cuando existan motivos o pruebas para pensar que el hecho denunciado es veraz.
• Cuando el hecho denunciado entre dentro del ámbito de aplicación del derecho europeo.
• Los hechos hayan sido denunciados mediante los canales internos de la empresa, a través de canales externos, o hayan sido revelados públicamente.

Este precepto indica que, aunque existe la obligación de garantizar el anonimato en el canal de denuncias, los Estados miembros tienen que mantener la facultad para exigir o no a las personas jurídicas, tanto públicas como privadas, o las autoridades competentes en la materia, aceptar la tramitación de dichas denuncias anónimas.

Por último, el artículo añade que aquellas personas que hayan revelado información sobre infracciones de forma anónima, pero que posteriormente hayan sido identificadas, tienen derecho a protección, de forma que no se puedan tomar represalias contra ellas.

G) Los deberes del denunciante

Entre otros:

• Actuar de buena fe.
• Aportar datos y documentos relacionados con los hechos denunciados.
• Deber de confidencialidad

H) Los derechos del denunciado

En el reglamento también se contemplan y se especifican los derechos del denunciado:

• A que se le comunique que se encuentra en un proceso de investigación en el menor plazo de tiempo posible, como consecuencia de una denuncia presentada contra él. Esta comunicación debe contener información sobre:
  • El órgano encargado de la gestión.
  • Los hechos denunciados.
  • Los derechos que le asisten.
  • El procedimiento de trámite de la denuncia.
• El derecho de acceso a los datos registrados, con excepción de la identidad del denunciante y de otras personas afectadas por el expediente.
• El derecho de rectificación de los datos personales que puedan ser incorrectos o incompletos¹.
• El derecho a que se le informe de la resolución o el archivo de la denuncia.

I) La gestión del canal de denuncias

Se ha de especificar cuál es el procedimiento de gestión de la denuncia, si es de forma interna o se encarga a un servicio externo.

J) La recepción y el tratamiento de denuncias

En este punto se tiene que explicar de manera clara y concisa todo el procedimiento de denuncia, desde su recepción, su admisión y valoración, hasta la resolución del expediente.

K) La instrucción del expediente

Se especifica el plazo máximo para la instrucción del expediente, durante el cual se da trámite de audiencia al denunciado, a los afectos y a los terceros que puedan actuar como testigos, cuya intervención es completamente confidencial.

L) La resolución del expediente

Tras la finalización de la instrucción, se tiene que emitir un acuerdo motivado, estimando o no la denuncia, justificando siempre la decisión adoptada. Este acuerdo se notifica al denunciante y al denunciado en un plazo de 30 días hábiles y, como mínimo, debe contener:

• La identificación del número de expediente, del denunciante, del denunciado y del instructor del procedimiento.
• El análisis de la información y la documentación aportada en la denuncia, recabada por el instructor y, en su caso, la aportada por el denunciado.
• La valoración de las alegaciones efectuada en el trámite de audiencia.
• El resumen de los hechos denunciados y del resultado de la instrucción.
• La decisión adoptada.
• El fundamento de hecho y de derecho de la decisión adoptada.
• Las medidas a adoptar.
• Las medidas, si procede, a adoptar para mejorar el plan de prevención de delitos o de cumplimiento normativo.

M) La revisión y actualización del canal de denuncias

Según se recoge en el artículo 31 bis del Código Penal, el canal de denuncias se ha de revisar de manera periódica, para actualizarlo o subsanar las posibles deficiencias que puedan detectarse.

Además, el órgano de cumplimiento tiene que revisar y analizar las denuncias presentadas a través del canal de denuncias siempre dentro de los límites establecidos por la normativa de protección de datos y la Directiva Whistleblowing para, en caso de ser necesario, mejorar las medidas y los controles para la prevención y el descubrimiento de delitos e infracciones.

N) La conservación de la información

El órgano competente o el encargado del cumplimiento debe tener un registro de todas las denuncias y las consultas presentadas a través del canal de denuncias. Este registro tiene que cumplir con las exigencias correspondientes a la normativa de protección de datos.

La información que se ha introducido en el canal de denuncias se tiene que mantener durante el tiempo necesario para dar por cumplida la finalidad del tratamiento; es decir, para la toma de la decisión sobre la necesidad de investigar los hechos o comportamientos delictivos denunciados. El plazo de conservación de las irregularidades denunciadas es de tres meses y, una vez transcurrido ese plazo, el expediente debe ser eliminado del canal, sin perjuicio de que pueda seguir siendo accesible para su gestión por parte de los órganos competentes, pero ya fuera del canal de denuncias.

4.4. El establecimiento de un protocolo para la tramitación de las denuncias

El hecho de implementar un canal de denuncias interno conlleva establecer un protocolo para afrontar las denuncias.

Dentro de este protocolo de actuación hay que establecer las siguientes vías: la implantación de un procedimiento del canal de denuncias y el proceso de investigación de las mismas, desde su recepción, su tramitación, quién es el organismo encargado de llevar a cabo la investigación, cómo se va a realizar y cómo se comunica la resolución de la misma; y la definición de un régimen sancionador para los infractores, que recoja (siempre dentro de los límites de la ley) las consecuencias para quienes cometen algún tipo de irregularidad dentro de la empresa (suspensión de empleo y sueldo, despido disciplinario, etc.).

A) La implantación de un procedimiento de canal de denuncias

El procedimiento del canal de denuncias no es más que la forma en cómo debe funcionar el canal de denuncias de una empresa, de una entidad pública o cualquier otra de las organizaciones en las que es de aplicación la ley de protección del denunciante de corrupción, que traspone al ordenamiento jurídico español la Directiva Whistleblowing de la Unión Europea.

Tanto la normativa española como la europea establecen unos mínimos en relación con el procedimiento del canal de denuncias. A partir de ahí, cualquier entidad que cumpla con estas obligaciones mínimas puede organizar y gestionar el canal de denuncias de la manera que mejor se adapte a sus circunstancias y a su sector.

En esencia, el procedimiento del canal de denuncias interno ha de ser sencillo, claro para la gestión de las denuncias, de manera que el proceso sea ágil y no suponga demoras en la tramitación de las denuncias recibidas. Una vez creado e implementado, hecho el reglamento y establecido el protocolo de funcionamiento del mismo, todo el proceso sigue una serie de pasos marcados. Y ha de ser público, es decir, la plantilla y cualquier persona externa debe saber cómo se gestionan las denuncias recibidas en el canal de denuncias.

El denunciante realiza una denuncia a través del canal habilitado para ello. Una vez recibida la misma, el responsable del canal debe hacer un seguimiento constante de ella, la estudia y determina si debe ser o no tramitada, en función de si hay indicios o no de que se está cometiendo la irregularidad denunciada. Hay que tener en cuenta que el responsable del sistema, como persona u organismo independiente y autónomo y designado por la dirección de la empresa, debe aprobar este procedimiento.

La organización competente tiene un plazo de siete días para comunicar la recepción de la denuncia al informante. En todo momento se mantiene informado al denunciante sobre la investigación (siempre dentro de los límites jurídicos y de la manera más completa posible). Es obligatorio asignar una persona de contacto para mantener la comunicación con el denunciante y realizar un seguimiento sobre el estado de la denuncia.

Se le comunica si la denuncia se archiva, si se abre un expediente y un proceso de investigación, los resultados del mismo, las medidas tomadas para solucionar el problema denunciado y si la denuncia es remitida a una autoridad competente para proseguir con la investigación.

Si la denuncia se tramita, la organización tiene un plazo máximo de tres meses para llevar a cabo la investigación interna correspondiente para el esclarecimiento de los hechos. En casos de especial complejidad, este plazo se puede prorrogar por tres meses más.

Asimismo, las denuncias presentadas y tramitadas se conservan en un registro, garantizando la confidencialidad –siendo accesible a la autoridad judicial en el caso de un procedimiento judicial–. Los datos personales que contenga este registro se conservan durante el tiempo necesario, con un plazo máximo de 10 años. En cualquiera de los casos, se debe cumplir el Reglamento general de protección de datos.

Puede utilizar el canal de denuncias interno:

• Cualquier persona que trabaje en el sector privado y que haya sido testigo de una irregularidad o infracción dentro de un contexto laboral o profesional (trabajadores por cuenta ajena, autónomos, accionistas, miembros del órgano de administración, de la dirección o de supervisión de la empresa).
• Cualquier persona que haya sido testigos de una infracción o irregularidad en el marco de una relación laboral o estatutaria ya finalizada (exempleados, becarios, voluntarios, trabajadores en prácticas).

B) El régimen sancionador

Los Estados de la Unión Europea consideran fundamental establecer sanciones penales, civiles o administrativas para garantizar que no se tomen represalias contra los denunciantes.

De hecho, la ley contempla sanciones de hasta un millón de euros para las empresas.
Las multas oscilan:

• Desde 1.001 a 300.000 euros, si se trata de personas físicas.
• Desde 10.001 a 1.000.000 de euros, en el caso de las personas jurídicas.

De la misma manera, se sanciona a las personas que presenten denuncias falsas o a las empresas que revelen dichas denuncias.

4.5. Un registro de las denuncias recibidas

El canal de denuncias se completa con un libro-registro de las denuncias que se reciben y se tramitan, así como de las investigaciones que hayan propiciado y la resolución de las mismas. Hay que indicar que también puede ser un registro electrónico, lo que supondría una reducción de la labor documental para el responsable del canal.

5. Los obligados a un canal de denuncias interno

Tanto la Directiva (UE) 2019/1937 como la Ley 2/2023, de 20 de febrero, obligan a todas las empresas con más de 50 personas en su plantilla y a las entidades del sector público a implementar unos canales de denuncias confidenciales y seguros.

La directiva contempla la protección de las personas que informen sobre irregularidades en el área de compras públicas, servicios financieros, blanqueo de dinero o financiación del terrorismo. También en seguridad en el transporte, protección medioambiental, seguridad alimentaria, salud pública, salud animal, protección del consumidor, protección de datos o regulaciones tributarias.

En concreto, las compañías obligadas a crear los canales de denuncia interno son:

• Las empresas privadas con 50 o más trabajadores o un volumen de ingresos superior a 10 millones de euros.
• Las empresas afectadas por la Ley de blanqueo de capitales (independientemente de su número de empleados).
• Las empresas dedicadas a productos y mercados financieros o las personas jurídicas que, aunque no tengan domicilio en España, desarrollen actividades mediante sucursales o agentes sin domicilio permanente
• Las empresas dedicadas a la seguridad en el transporte.
• Las empresas afectadas por leyes de protección del medio ambiente.
• Las empresas con un programa de compliance (puesto que el canal de denuncia es uno de los elementos del mismo).
• Las empresas con plan de igualdad, puesto que deben implementar un canal de denuncia del acoso sexual o por razón de sexo.
• Las empresas o entidades del ámbito deportivo, ocio o educativo cuando cuenten con la presencia de menores, para comunicar situaciones de acoso o violencia.
• Los grupos de sociedades.
• Las entidades públicas de municipios con más de 10.000 habitantes.
• Los partidos políticos, sindicatos, patronales o fundaciones creadas por los mismos que reciban fondos públicos.

Los plazos máximos para implementar un canal de denuncias interno son los siguientes:

• Las empresas con más de 249 empleados: plazo de 3 meses tras la publicación en el BOE de la Ley 2/2023, de 20 de febrero (fecha límite, el 13 de junio de 2023).
• Las empresas entre 50 y 249 personas empleadas: plazo de 9 meses (fecha límite hasta el 1 de diciembre de 2023).
• Los municipios con menos de 10.000 habitantes: plazo de 9 meses (fecha límite hasta el 1 de diciembre de 2023).

6. La protección de datos en el canal de denuncias interno

Existe una relación entre el canal de denuncias y la protección de datos. El artículo 24 de la Ley orgánica de protección de datos y garantía de los derechos digitales regula cómo debe ser el tratamiento de datos personales de informantes, denunciados y testigos, lo cual es aplicable tanto al canal de denuncias de las organizaciones privadas como públicas.

A) La licitud del tratamiento

Cuando se implanta, el canal de denuncia interno responde a la necesidad de cumplir con la Ley de protección del denunciante. Ya sea una gestión interna o externa, la licitud del tratamiento se basa tanto en el cumplimiento legal por parte del responsable del trata- miento (art. 6.1.c del Reglamento general de protección de datos), como en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (art. 6.1.e del Reglamento general de protección de datos).

El derecho de acceso va a estar limitado; en concreto, el acceso a los datos de la persona denunciante (informante), para poder así cumplir con el deber de proteger a los informantes de acuerdo con la ley.

B) La información a los interesados

La empresa privada o la entidad pública, como responsable del tratamiento, debe informar a los empleados y a los terceros implicados (personas que, aunque no formen parte de la empresa u entidad pública, pueden recurrir al canal de denuncia interno de la misma) de la existencia del canal de denuncias interno.

Asimismo, también se debe informar a los denunciantes, denunciados, testigos, terceros afectados, etc., del tratamiento de sus datos cuando se reciba una denuncia. El artículo 14.3 del Reglamento general de protección de datos dispone que esta información debe realizarse dentro de un plazo razonable, que no debería exceder de un mes, pudiendo ampliarse a tres meses en caso de una investigación prolongada.

C) El acceso a los datos

Están autorizados a acceder a los datos personales obtenidos en el canal de denuncias interno:

• El responsable del canal de denuncias y quien lo gestione directamente.
• El responsable de recursos humanos (u organismo competente en una entidad pública) cuando sea necesario llevar a cabo un procedimiento disciplinario contra el denunciado.
• El responsable de los servicios legales de la empresa o entidad pública, para iniciar las acciones legales correspondientes.
• Los encargados del tratamiento (si existen).
• El delegado de protección de datos.

Asimismo, los datos personales recabados con la denuncia y durante el proceso de investigación interna también podrán cederse (si procede) a la autoridad judicial, el Ministerio Fiscal o la autoridad administrativa competente.

D) El plazo de conservación

Como ya se ha indicado anteriormente, el plazo de conservación de los datos personales obtenidos y tratados en el canal de denuncias y en los procesos de investigación interna no ha de superar los 10 años, plazo que se entiende como el estrictamente necesario para llevar a cabo el procedimiento de tramitación e investigación de la denuncia.

De igual manera, si la denuncia no ha prosperado, los datos personales de las denuncias recibidas y guardadas en el sistema de información interno deben suprimirse pasados tres meses desde su recepción. Si se ha dado trámite a la denuncia, pasados esos tres meses, los datos personales deben pasar al sistema de gestión de las investigaciones internas de la empresa, eliminándose así del canal de denuncias.

E) Las medidas de seguridad

Corresponde a la empresa o a la entidad pública tomar y aplicar las medidas de seguridad necesarias para garantizar la confidencialidad, integridad y disponibilidad de los datos personales obtenidos y tratados a través del canal de denuncia interno.

F) El delegado de protección de datos

Las empresas o las entidades públicas que implementen un canal de denuncias interno (sea por cumplir con la ley o de forma voluntaria) deben designar un delegado de protección de datos, si no lo tuvieran ya designado.

_____________________

El CEF.- analiza, en su Curso sobre la Protección del Informante de Infracciones y Delitos en el Marco del Compliance Laboral (Whistleblower y Whistleblowing) las últimas y recientes reformas en materia de protección del informante en el marco del compliance, mediante la promulgación de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, que no hace sino proceder a la trasposición interna de la Directiva 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del derecho de la Unión.

Se trata de un auténtico cambio de paradigma, en el que las empresas deben tomar partido, tanto en el ámbito público como privado. Tal es el alcance de la protección y articulación de estos canales de información que la ley prevé una batería de sanciones que pueden incluso llegar a alcanzar el millón de euros, por lo que un correcto conocimiento de la normativa resulta esencial para eludir las consecuencias legales que su infracción puede comportar. Ello sin obviar cómo la desviación de la aplicación legal puede conllevar un riesgo reputacional.

_____________________