Hasta un millón de euros por incumplir la nueva normativa «whistleblower»
"La Directiva indica que los Sujetos obligados son aquellas personas físicas o jurídicas del sector privado que tengan más 50 empleados"
(Foto: E&J)
Hasta un millón de euros por incumplir la nueva normativa «whistleblower»
"La Directiva indica que los Sujetos obligados son aquellas personas físicas o jurídicas del sector privado que tengan más 50 empleados"
(Foto: E&J)
El pasado viernes 4 de marzo se aprobó el Anteproyecto de Ley de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Para ponernos en contexto, este Anteproyecto es el resultado de la transposición en España de la Directiva Europea Whistleblowing, cuya fecha límite finalizaba el pasado 17 de diciembre. Esta Directiva nace con el objetivo de combatir el fraude y la corrupción en todas las empresas (públicas y privadas) ante el gran número de escándalos surgidos en Europa.
Con unos meses de retraso, España ha finalizado el texto que, con su aprobación, regula los Canales de Denuncia en nuestras empresas, ahora llamados Sistemas Internos de Información.
Sin duda, España es consciente de la importancia de esta Directiva e intensifica los requisitos y los métodos de actuación para cumplir estrictamente con las peticiones europeas.
Para entender este Anteproyecto y qué implica para las empresas españolas, hemos hablado con Diana Gurau, Compliance Specialist en Logalty Solutions.
Economist & Jurist.- Diana, ¿qué novedades introduce el Anteproyecto con respecto a la Directiva Whistleblowing?
Diana Gurau.- : Si bien es cierto que se mantiene el alma de la Directiva, son muchísimas las novedades que España introduce en este Anteproyecto. No cabe duda que el fraude y la corrupción es un tema delicado en este país y por ello se han tomado más medidas en el Anteproyecto de las que introducía el texto europeo.
Destaco sobre todo la obligatoriedad de que los sujetos obligados cuenten con un sistema interno de información, además de confidencial, anónimo. En este sentido esto puede suponer una manifiesta complejidad para estos sujetos, pues entra en conflicto con otras obligaciones como pueden ser enviar un acuse de recibo al informante o la posibilidad de solicitar más información sobre la denuncia. ¿Cómo lo puedo hacer si no sé quién es denunciante?
Se añaden y delimitan específicamente las conductas que pueden ser denunciables por el informante aparte de las ya recogidas en la Directiva, a modo enunciativo, comisión de cualquier hecho delictivo por supuesto, ya que el interés supremo de esta normativa aparte de proteger al informante es la protección del interés general. Se incorporan también las infracciones administrativas graves y muy graves, infracciones en materia laboral de salud en el trabajo, infracciones de la normativa de impuesto sobre sociedades, etc.
La problemática es que han utilizado el artículo 2 del Anteproyecto como “cajón desastre”, por tanto espero que próximamente definan y desarrollen mejor estas conductas.
Asimismo, otras novedades son, la definición exacta de qué personas están protegidas por esta normativa, es decir, quienes pueden denunciar. También amplían los sujetos obligados, pues en la Directiva se hablaba de Administraciones Públicas con más de 10.000 habitantes, y en la reciente normativa se ha impuesto esta obligación a todas las administraciones públicas con independencia del número de habitantes o trabajadores, entre otros.
Por último, mencionar la creación de la Autoridad Independiente de Protección al Informante y la obligación de las empresas de designar a un Responsable de ese Sistema Interno.
E&J.- Volvamos a los Sujetos Obligados ¿ahora mismo quiénes estarán obligados a cumplir con dicha normativa?
D.G.- La Directiva indica que los Sujetos obligados son aquellas personas físicas o jurídicas del sector privado que tengan más 50 empleados. También aquellas personas jurídicas que entren en el ámbito de aplicación de una ley específica, por ejemplo, un sujeto obligado de la ley de prevención de blanqueo de capitales o una entidad financiera, independientemente de sus números de trabajadores, pues les es de aplicación su normativa específica.
También son sujetos obligados los partidos políticos, los sindicatos, patronales… y como he mencionado anteriormente, todas las Administraciones Públicas.
Asimismo, en este sentido es importante mencionar que las Administraciones, organismos y demás entidades obligadas a contar con un sistema interno de información deberán implantarlo en el plazo de tres meses a partir de su entrada en vigor, a excepción de las entidades del sector privado con menos de 249 trabajadores, cuyo plazo de extenderá hasta el 1 de enero de 2023.
E&J.- Has mencionado un nuevo organismo que regulará los Sistemas Internos de Información, ¿nos puedes hablar de ello?
D.G.- Para asegurar que la Ley tiene el efecto en la lucha que se quiere conseguir contra el fraude y la corrupción, se ha creado la Autoridad Independiente de Protección al Informante.
Este órgano servirá como Sistema de Información externo y estará disponible para cualquier persona física que protege el actual Anteproyecto.
Sin duda, esto supone una mayor presión para las empresas porque, en caso de que se cometa un delito dentro de su negocio, la denuncia podrá ser remitida tanto a su propio Sistema Interno de Información, como a la Autoridad Independiente de Protección del Informante.
Esto asegura, en caso de que la denuncia sea razonada y su información esté relacionada con la lista de conductas denunciables, que se investigue y estudie dicha alerta, combatiendo de forma eficaz, entre otros, la problemática de la corrupción.
Además, cabe mencionar que, aunque las empresas deben velar porque se utilice su propio Sistema Interno de Información, los informantes podrán acudir directamente a este órgano, sin necesidad de haber acudido antes al Sistema Interno de su compañía, siempre que así lo consideren.
E&J.- ¿A qué sanciones se enfrentan los sujetos obligados por incumplir con esta Ley?
D.G.- Las sanciones van en función de la gravedad de la infracción, y van desde los 100.000 a 1.000.000 de euros. Y los motivos de incumplimiento que recoge el Anteproyecto son varios, desde limitar los derechos y garantías de cualquier tipo, el incumplimiento de los requisitos internos que deben cumplir estos canales, la no designación de un Responsable del Sistema o que el Canal no se garantice esa confidencialidad y anonimato.
Los Sujetos Obligados deben ser muy cuidadosos con la implantación de esta Normativa en su negocio y cumplir estrictamente con los solicitado en la Ley, porque además de la multa, también asumen un riesgo reputacional.
E&J.- ¿A qué te refieres con asumir riesgo reputacional?
D.G.- Una de las sanciones consiste en una Amonestación Pública es decir, aquellas empresas cuyas multas sean superiores a 600.000 euros, podrán ser amonestadas publicando la infracción cometida en el marco de esta Ley. Eso conlleva un gran riesgo reputacional que puede poner en peligro incluso la supervivencia de la compañía, pues puede afectar a la credibilidad de los agentes externos en la ética, cultura y transparencia de la misma.
E&J.- Diana, como experta en Compliance, ¿cómo pueden las empresas implantar y cumplir correctamente con la Ley de Sistemas Internos de Información?
D.G.- Claramente, con ayuda de la tecnología. Cumplir con todos los requisitos que dicta la Ley y, además, hacerlo de forma óptima sería imposible si no nos ayudamos de la tecnología.
Como ya he adelantado, uno de los requisitos con el que tiene que cumplir obligatoriamente el Sistema Interno de Información es el anonimato para los informantes. Bien, ¿cómo podemos garantizarlo si no es con tecnología? O, lo que he mencionado ¿cómo podríamos comunicarnos con esa persona anónima en caso de necesitar más información? Otro caso es el del acuse de recibo o la resolución en plazo, la llevanza de un libro-registro de todas las denuncias con acceso limitado de usuarios, lo que llamamos trazabilidad, y la tecnología nos facilita el cumplimiento de estos requisitos.