Localízanos:
  • Ubicación: Calle Priorato, 103, Local, Leganés, 28915 (Madrid)
  • Resto de España - cita previa.
  • Teléfono: (+34) 624 42 98 90

Horario (con cita previa):

  • Lunes a Jueves:
    9:30h – 13:30h  / 17:00h – 20:30h
  • Viernes: 9:30h – 13:30h
  • Sábado: 10:00h – 12:00h

La ausencia de un canal de denuncias será sancionada con multa de hasta 1.000.000 de euros

La Directiva (UE) 2019/1937, de 23 de octubre, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión es también conocida como Directiva Whistlebowing. Se dictó con el ánimo de proteger a las personas que, conocedoras de infracciones de las organizaciones públicas o privadas para las que trabajan o prestan servicios o tienen conexión de alguno de los tipos que establece, puedan denunciarlas sin temor a represalias, puesto que estas personas suelen ser las primeras en tener conocimiento de amenazas o perjuicios para el interés público que surgen en ese contexto.

El Anteproyecto fue presentado por el Consejo de Ministros el 4 de marzo, meses después del plazo con el que contaban los Estados de la Unión Europea para transponer la Directiva (UE) 2019/1937, que finalizó el 17 de diciembre de 2021. Por su parte, el Proyecto ha sido publicado en el Boletín del Congreso de los Diputados del pasado 23 de septiembre.

El texto que pasa ahora a ser tramitado en el Parlamento, prevé:

– Una vacatio legis de 20 días desde su publicación en el BOE (DF 8ª)

– Un plazo máximo de 3 meses desde esa entrada en vigor para que las organizaciones obligadas a implantar los canales lo materialicen. Como excepción, para las entidades jurídicas del sector privado con menos de 249 trabajadores y municipios de menos de 10.000 habitantes, el plazo se extiende hasta el 1 de diciembre de 2023.

Protección de datos personales

Una correcta protección de los informantes en sistemas internos, públicos o privados, o en canales externos o revelaciones públicas, exige una adecuada protección de sus datos personales. A tal fin, los arts. 29 y ss del Proyecto regulan:

— El régimen jurídico del tratamiento de los datos personales en todos esos casos, precisándose los términos de la licitud de dichos conforme a las reglas de RGPD y LOPDGDD para cada uno de ellos.

— La información a proporcionar a los interesados y las posibilidades de ejercicio de sus derechos. Por ejemplo, en el caso concreto de los sistemas internos de información, transcurridos 3 meses desde la recepción de la comunicación sin que se hayan iniciado actuaciones de investigación, debe procederse a su supresión. El Proyecto también añade que “no se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una información específica o, si se recopilan por accidente, se eliminarán sin dilación indebida”.

— La preservación de la identidad del informante y de las personas investigadas, que solo puede ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora.

— La necesidad de contar con Delegado de Protección de Datos competente para todos los tratamientos en los sistemas internos de comunicaciones (art. 34).

Régimen sancionador

Se regula en los arts. 60 y ss., que remite a las reglas aplicables del procedimiento administrativo sancionador.

La potestad sancionadora se atribuye a Autoridad Independiente de Protección del Informante y a los órganos competentes de las Comunidades Autónomas, sin perjuicio de las facultades disciplinarias que en el ámbito interno de cada organización puedan tener los órganos competentes.

El sistema de infracciones se cataloga en infracciones muy graves, graves o leves; y la consiguiente graduación de sanciones muy graves, graves o leves, respectivamente. Las infracciones, en todo caso, se refieren a las obligaciones del texto normativo (vulneraciones de confidencialidad en los canales de información, adopciones de represalias, etc.). Se contemplan asimismo los correspondientes plazos de prescripción para unas y otras y los criterios habituales para su graduación, típicos del procedimiento administrativo sancionador (reincidencia, intencionalidad, etc.). Como novedad del Proyecto, llama la atención la inclusión, como infracción muy grave, del “Incumplimiento de la obligación de disponer de un Sistema interno de información en los términos exigidos en esta ley”. Lo cierto es que en el Anteproyecto sorprendía que no se sancionase su falta en las organizaciones obligadas a implantarlo.

En todo caso, las sanciones consisten siempre en multas, con cuantías que varían según se trate de personas físicas o jurídicas, especialmente sustanciosas en los casos de personas jurídicas.

a) Personas físicas: se amplían las cuantías con respecto a lo que preveía el Anteprouyecto, que fijaba hasta 10.000 euros por la comisión de infracciones leves; de 5.001 hasta 30.000 euros por la comisión de infracciones graves y de 30.001 hasta 300.000 euros por la comisión de infracciones muy graves. Con el Proyecto se amplían las multas por infracciones graves, que pasan a ser de 10.001 hasta 30 000 euros.

b) Personas jurídicas: hasta 100.000 euros en caso de infracciones leves, entre 100.001 y 600.000 euros en caso de infracciones graves y entre 600.001 y 1.000.000 euros en caso de infracciones muy graves.


Sin embargo, no se recoge expresamente como infracción la falta de un canal interno de comunicación, estando obligado a ello, por lo que podría considerarse infracción leve, según lo previsto en el art. 63.3.c), según el cual lo es cualquier « incumplimiento de las obligaciones previstas en esta ley que no esté tipificado como infracción muy grave o grave».

Deja un comentario

error: