Nueva obligación para empresas de más de 50 trabajadores: el whistleblowing

El BOE de 21 de febrero ha publicado la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

Esta norma supone la transposición al ordenamiento jurídico español de la conocida como directiva Whistleblowing, y surge con el fin de fortalecer la cultura de la información y la comunicación como mecanismo para prevenir y detectar amenazas al interés público, protegiendo a las personas que informen sobre las acciones u omisiones recogidas en la norma.

¿Cuáles son estas acciones u omisiones?

Son aquellas que puedan constituir infracciones al derecho de la Unión Europea o infracciones penales o administrativas graves o muy graves.

¿Quiénes son los informantes protegidos?

Aquellas personas físicas que hayan obtenido información sobre infracciones en un contexto laboral o profesional. Se incluyen los empleados públicos, los trabajadores por cuenta ajena, los autónomos, los socios y administradores de sociedades mercantiles y otras entidades, entre otros. La protección se extiende también a los informantes que comuniquen infracciones relativas a una relación laboral ya finalizada o a aquellos que han obtenido la información durante un proceso de selección o negociación precontractual.

¿En qué consiste esa protección?

Esencialmente, la protección de los informantes consiste en la prohibición de represalias, entendidas como tratos desfavorables que provoquen a las personas informantes una desventaja particular respecto a otra en el contexto laboral o profesional (por ejemplo, el despido, no renovación o terminación anticipada del contrato, daños reputacionales, evaluaciones negativas, denegación de formaciones, etc.). La ley prevé medidas de apoyo y protección frente a estas represalias.

¿Cómo se trata la información recibida?

La nueva norma establece un canal interno de información como medio preferente para informar sobre las acciones y omisiones mencionadas dentro de la propia organización; y un canal externo, a través de la nueva Autoridad Independiente de Protección del Informante, o de los organismos autonómicos correspondientes.

¿Quién está obligado a disponer del sistema interno de información?

Tienen obligación de disponer del sistema interno de información todas las entidades que integran el sector público y las siguientes entidades privadas:

a. Las personas físicas y jurídicas que cuenten con 50 o más trabajadores.

b. Los partidos políticos, sindicatos, organizaciones empresariales y las fundaciones creadas por unos y otros que reciban o gestionen fondos públicos.

¿Cómo se implanta el sistema interno de información?

Corresponde al órgano de administración o de gobierno de las entidades obligadas la implantación del sistema interno de información (previa consulta con la representación legal de los trabajadores), así como la designación del responsable y la aprobación del procedimiento de gestión de la información de acuerdo con el contenido y principios mínimos que marca la ley. Sin embargo, se prevé también la posibilidad de encargar su gestión a un tercero externo.

Los sujetos obligados deberán proporcionar información adecuada, clara y accesible sobre el uso y funcionamiento del sistema de información, y deberán llevar un libro registro de las informaciones recibidas y de las investigaciones internas que hayan provocado, garantizando siempre la confidencialidad de la información.

¿Qué plazo existe para la implantación?

Las entidades obligadas a implantar el sistema interno de información tendrán que hacerlo dentro del plazo de 3 meses desde la entrada en vigor de la ley (el día 13 de marzo de 2023).

Como excepción, para las entidades privadas con menos de 250 trabajadores, cuyo plazo se extenderá hasta el 31 de diciembre de 2023.

¿Cuál es el régimen sancionador que establece la ley?

La ley atribuye la potestad sancionadora en su ámbito a la Autoridad Independiente de Protección del Informante (u organismo autonómico correspondiente), estableciendo una graduación de las infracciones entre muy graves, graves y leves.

Se distingue el importe de las sanciones según el responsable de las infracciones sea una persona física o una persona jurídica.

Así, mientras para las personas físicas las sanciones van desde los 1.001 euros a los 300.000 euros, para las personas jurídicas llegan hasta el millón de euros.

Es importante destacar que el incumplimiento de la obligación de disponer de un sistema interno de información se tipifica como sanción muy grave.