Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, en virtud de la que se traspone la Directiva (UE) 2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre de 2019 (Directiva Whistleblowing).

La Ley 2/2023 es fruto de la transposición de una Directiva de la UE cuya finalidad es proteger a los empleados que informen de irregularidades (ilícitos penales e infracciones administrativas graves o muy graves) cometidas o que probablemente se vayan a cometer en el seno de una organización y, en particular, en el caso de las sociedades mercantiles.

1. Objeto: La Ley, siguiendo a la Directiva, pretende otorgar una protección adecuada a las personas que informen (la Directiva utiliza el término “denuncien”) sobre acciones u omisiones que puedan constituir algunas de las infracciones que la Ley 2/2023 tipifica: infracciones del Derecho de la UE (o que afecten a los intereses financieros de la UE), infracciones penales o administrativas graves o muy graves, incluyendo, en todo caso y entre otras, las infracciones que impliquen quebranto económico para la Hacienda Pública o para la Seguridad Social u las infracciones de Derecho laboral en materia de seguridad y de salud en el trabajo. 

La Ley no protege a las personas que informen sobre acciones u omisiones distintas, aquellas que afecten a información clasificada, las que supongan el incumplimiento de las obligaciones de protección del secreto profesional y de los profesionales de la medicina, de la abogacía y del deber de confidencialidad de las Fuerzas y Cuerpos de Seguridad del Estado

A estos efectos, obliga a determinados sujetos (entre ellos las sociedades mercantiles con más de 50 trabajadores) a contar con un sistema interno de información (canal de denuncias), así como con un sistema de gestión y protección de los informantes, evitando represalias contra ellos.

Las denuncias pueden ser anónimas (de modo que quien la recibe no tenga posibilidad de llegar a conocer la identidad de quien la ha presentado; al tiempo que, desde el momento en que se hayan identificado, estos informantes también se beneficiarán del sistema de protección de la Ley 2/2023) o nominativas.

2. Sujetos protegidos: ¿a quién protege la Ley 2/2023? La Ley 2/2023 protege, entre otros, a los informantes que trabajen en el sector privado y que hayan obtenido información sobre infracciones en un contexto laboral o profesional. En efecto, la Ley 2/2023 protege al informante que tenga una relación laboral con la sociedad, pero también a profesionales vinculados en virtud de relaciones no laborales: autónomos, socios, altos directivos, integrantes del órgano de administración, personas vinculadas estatutariamente, becarios, trabajadores en periodos de formación; así como a las personas jurídicas propiedad del informante o para las que trabaje o mantenga una relación laboral y aquellas en las que ostente una participación significativa

En el ámbito de aplicación de la Ley 2/2023 están incluidos los casos en los que el informante haya obtenido la información revelada: (i) en el marco de una relación laboral ya finalizada; así como (ii) durante el proceso de selección o de negociación precontractual. Además, la Ley también prevé medidas de protección a los representantes legales de los trabajadores en el ejercicio de sus funciones de asesoramiento y apoyo al informante.

La protección opera con independencia de si se informa: i) de irregularidades que ya se han cometido; ii) de irregularidades no materializadas totalmente, pero que muy probablemente se van a cometer; iii) de intentos de ocultar alguna de estas irregularidades.

La protección dispensada no solo alcanza a la persona del informante, sino también a personas relacionadas o vinculadas con éste y que, en el contexto laboral, puedan sufrir represalias: personas que asistan al informante para alertar de la irregularidad, compañeros de trabajo, familiares del informante y entidades para las que el informante trabaje o preste servicios.

3. Sujetos obligados: Están obligados a disponer de un sistema interno de información en los términos previstos en la Ley 2/2003, entre otros sujetos, las personas jurídicas del sector privado que tengan contratados 50 o más trabajadores (además, también están obligados los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos). El responsable de la implantación es el órgano de administración de las sociedades mercantiles (art. 5.1), que deberá designar un responsable del sistema (art. 8.3), pudiendo ser el mismo que ejerza las funciones de “compliance officer” (art. 8.6); al tiempo que deberá aprobar un procedimiento de gestión de informaciones (art. 9.1.).

El caso de los grupos de empresas (de acuerdo con el concepto del art. 42 del CCom), el responsable del sistema puede ser uno para todo el grupo (art. 11.2) y también la política general relativa al sistema interno de información puede ser única para todo el grupo empresarial (art. 11.1). 

4. Sistemas internos de información: La ley 2/2023 obliga al establecimiento de sistemas o canales de información o de denuncia internos o externos, si bien otorga preferencia a los internos, siempre que la información se pueda tratar de modo efectivo internamente y no haya riesgo de represalia para el informante. La finalidad de evitar las represalias se articula a través de la previsión de un sistema integrado de información diseñado y gestionado de forma que se garantice la confidencialidad de la identidad del informante, de cualquier persona mencionadas en la comunicación y de las actuaciones que se desarrollen, la independencia en la gestión y tramitación, la protección de datos personales y el secreto de las comunicaciones.

La gestión de la información puede realizarse internamente o encargarse a un tercero externo (art. 15).

Las empresas que tengan entre 50 y 249 trabajadores pueden compartir entre sí el sistema interno de información y los recursos destinados a la gestión y tramitación de las comunicaciones, tanto si la gestión se lleva a cabo por cualquiera de ellas, como si se atribuye a un tercero externo (art. 14).

Las comunicaciones de las infracciones (denuncias) a través del canal interno, puede realizarse: i) por escrito (por correo postal, a través de un buzón físico destinado al efectos o través de una plataforma on-line, ya sea en la intranet o en internet); ii) verbalmente (vía telefónica o a través de cualquier sistema de mensajería de voz); iii) de ambos modos.

Al informante habrá de advertírsele que la comunicación será grabada y que sus datos personales serán tratados conforme a las previsiones de las normas reguladoras de la protección de datos personales. 

5. Los canales externos de información: la Autoridad Independiente de Protección del Informante (AAI): La Ley 2/2023 contempla como canal externo de información a la Autoridad Independiente de Protección del Informante (AAI) o a las autoridades u órganos autonómicos correspondientes. La AAI es un ente de Derecho público cuya función es la gestión del canal externo de comunicaciones y la adopción de medidas de protección del informante, así como la tramitación de procedimientos sancionadores en el caso de informaciones que provengan de la Administración General del Estado y de las entidades que integran el sector público estatal.

6. Plazo para implantación: El plazo máximo para el establecimiento de los sistemas internos de información es de 3 meses desde la entrada en vigor de la Ley 2/20023. Comoquiera que ésta se producirá a los 20 días de su publicación en el BOE, las sociedades mercantiles obligadas deberán de tener implantado el sistema antes del 13 de junio de 2023. Como excepción, en el caso de las entidades jurídicas del sector privado con 249 trabajadores o menos, el plazo se extiende hasta el 1 de diciembre de 2023 (en este caso entran todas las sociedades que asesoramos y que están obligadas a su implantación)

7. Prohibición de represalias: Se prohíben expresamente los actos constitutivos de represalia contra las personas que presenten una comunicación conforme a lo previsto en la Ley 2/2023. La norma pretende que la protección a quienes informan de irregularidades sea los más amplia posible, prohibiendo expresamente y declarando la nulidad de pleno derecho de cualquier represalia laboral.

A los efectos de lo previsto en la Ley 2/2023, a título enunciativo, se consideran represalias las que se adopten en forma de: (i) suspensión del contrato de trabajo; (ii) despido o extinción de la relación laboral (incluyendo la no renovación o la terminación anticipada de un contrato de trabajo temporal una vez superado el período de prueba); (iii) imposición de cualquier medida disciplinaria, (iv) degradación o denegación de ascensos; (v) modificación sustancial de las condiciones de trabajo; y (vi) la no conversión de un contrato de trabajo temporal en uno indefinido, en caso de que el trabajador tuviera expectativas legítimas de que se le ofrecería un trabajo indefinido, entre otras.

Adicionalmente, la protección del informante trata de garantizarse con previsiones adicionales:

Los informantes no incurrirán en responsabilidad por el acceso a la información de irregularidades, siempre que dicho acceso no constituya delito.

La inversión de la carga de la prueba: en los procedimientos que se sigan ante un órgano jurisdiccional u otra autoridad por los perjuicios sufridos por quien ha informado de irregularidades, se presumirá que el perjuicio se produce como represalia por tal actuación, de modo que corresponderá a la persona que haya tomado la medida perjudicial probar que la misma se basó en motivos no vinculados a la comunicación o revelación pública.

8. Protección de datos personales: el tratamiento de datos personales derivados de la Ley 2/2023 se regula en virtud de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales; y del Reglamento (UE) 2016/679, General de Protección de Datos.

A estos efectos, el órgano de administración de la entidad obligada a contar con un canal de denuncias tendrá la consideración de responsable del tratamiento de dato personales. En el caso de que sea un tercero externo el que gestione el sistema, será considerado como encargado de tratamiento de los datos personales, en cuyo caso se exigirá la suscripción del acuerdo a que se refiere el art. 26 del Reglamento (UE) 2016/679 (contrato de corresponsabilidad en el tratamiento de datos personales).

La solicitud del tratamiento de los datos personales en los supuestos de comunicación interna, se basa:

En el cumplimiento de una obligación legal, cuando sea obligatorio contar con un sistema de información legal aplicable al responsable del tratamiento (arts. 11 y 14).

En los casos en los que no sea obligatorio, en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable de tratamiento.

Se limita el acceso a los datos personales en sistema interno de información a: i) el responsable del sistema y a quien lo gestiones directamente; ii) al responsable de recursos humanos, cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador; iii) al responsable de servicios jurídicos; iv) a los encargados de tratamiento; y, v) al delegado de protección de datos.

Los responsables del canal interno de informaciones deberán disponer de un libro de registro de las informaciones recibidas y de las investigaciones que hayan tenido lugar, respetando, en todo caso, los requisitos de confidencialidad. Los datos personales relativos a las comunicaciones e informaciones recibidas y a las investigaciones internas se conservarán durante el periodo de tiempo que sea necesario y proporcionado que, en ningún caso, podrá superar los diez años.

Transcurridos 3 meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a la supresión de los datos personales, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Los datos que sean objeto de tratamiento podrán conservarse en el sistema de informaciones únicamente durante el tiempo necesario imprescindible para decidir si iniciar, o no, la investigación. 

La identidad del informante solo puede ser comunicada a las autoridades competentes en el marco de una investigación penal, disciplinaria o sancionadora. 

Se estable la obligación de nombrar un delegado de protección de datos para todos los tratamientos derivados del sistema interno de información.

9. Sanciones: La Ley 2/2023 establece un sistema de infracciones y sanciones, siendo especialmente relevante el hecho de que tipifique como infracción muy grave el incumplimiento de la obligación de disponer de un sistema interno de información, para lo que establece como sanción multas que van desde 600.001,00 € a 1.000.000,00 €, en el caso de las personas jurídicas.

Por otra parte, adoptar medidas de represalia frente a los informantes de irregularidades se tipifica como una infracción muy grave, que puede ser sancionada con multas de hasta 1.000.000,00 €.