^{Alejandro Negro, consejero, y Pablo Tena, asociado
grupo.alimentacion@cuatrecasas.com}

El pasado 13 de marzo de 2023 entró en vigor en España la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante, la “Ley”), que traspone la Directiva UE 1937/2019, conocida como “Directiva Whistleblowing”.

El objetivo fundamental de la nueva norma española –más allá de la mera trasposición de la europea– es doble:

Por un lado, pretende fortalecer las infraestructuras de integridad de las organizaciones, fomentando la cultura de la información como mecanismo para prevenir y detectar amenazas al interés público; Por otro, otorgar protección a las personas que utilicen los canales de información para reportar conductas inadecuadas.

Ahora bien, cabe preguntarse a qué tipo de empresas aplica esta Ley y, si la normativa (incluída la Directiva Whistleblowing) diferencia por sectores de actividad.

De la lectura de ambas normas, debe concluirse que no existe una diferenciación por sectores (salvo en lo referido a empresas del sector privadas y público).

En este sentido, la Ley obliga a las empresas que tuvieran ya un deber específico anterior y en todo caso a aquellas con más de 50 trabajadores a implantar un completo sistema interno de información como “cauce preferente” para reportar internamente cualquier conducta que pueda ser constitutiva de delito, de infracción administrativa grave o muy grave o de infracción del Derecho de la Unión Europea.

Así, la Ley supone un cambio normativo relevante que deja a un lado el clásico término de “canal de denuncias” y lo sustituye por un concepto mucho más amplio como el de “sistema interno de información”, que implica una nueva y completa estructura de carácter jurídico, organizativo y técnico.

Las principales tareas que deberán desarrollar las empresas obligadas, incluidas las del sector alimentario, para la implementación de este sistema interno de información son las siguientes:

El órgano de administración deberá acordar formalmente la implantación del sistema interno de información y de todos los componentes del mismo que se describen a continuación. La gestión de dicho sistema interno de información podrá ser externalizada.

Deberá designarse un responsable del sistema interno de información que goce de independencia y autonomía, función que podrá recaer en una persona física o en un órgano colegiado, en cuyo caso deberá delegarse en uno de sus miembros las facultades de gestión del sistema interno de información. La Ley prevé expresamente que esta designación podrá recaer en la “persona responsable de la función de cumplimiento normativo o de políticas de integridad” donde ya exista.

El órgano de administración como responsable de los tratamientos de datos personales del sistema de información deberá: (i) determinar qué datos pueden ser tratados dentro del sistema de información e implantar un sistema para el borrado de los que no puedan tratarse de acuerdo con la Ley: (ii) deberá revisar las cláusulas informativas para, entre otros, informar de forma expresa a los interesados de que el sistema garantizará la confidencialidad de la identidad del informante; (iii) deberá adoptar medidas técnicas y organizativas para proteger la confidencialidad y, en particular, la identidad del informante; (iv) deberá establecer un protocolo de ejercicio de derechos y una política de plazos de conservación de datos; (v) deberá revisar el Registro de Actividades de Tratamiento (“RAT”); y (vi) revisión del contrato con los externos que gestionen el sistema interno de información.

La anterior designación podrá ser formalizada en el mismo acuerdo del órgano de administración en el que se acuerda la implementación del sistema interno de información y deberá ser formalmente comunicada a la Autoridad Independiente de Protección del Informante de nueva creación.

Como parte integrante del sistema deberá aprobarse una política interna descriptiva de los principios generales de funcionamiento del sistema interno de información y defensa del informante.

La anterior política interna de funcionamiento del sistema interno de información debe ser adecuadamente publicitada y, además, deberá formarse al personal acerca de los deberes (especialmente para el personal directivo) y garantías de confidencialidad que la misma impone.

El sistema interno de información deberá dotarse de un canal interno de información (los antiguos “canales de denuncias”) que ha de cumplir con todas las exigencias específicas de la Ley.

El órgano de administración deberá aprobar también un procedimiento interno de gestión de informaciones que cumpla con las exigencias y garantías que dispone la Ley. Deberá crearse un libro-registro de las informaciones recibidas y de las investigaciones internas a las que hayan dado lugar, garantizando en todo caso los requisitos de confidencialidad previstos en la norma.

Las empresas con 250 trabajadores o más tienen hasta el 13 de junio de 2023 para implementar el sistema interno de información o adaptar el ya existente a las nuevas exigencias de la Ley, mientras que en el caso de empresas con entre 50 y 250 trabajadores la Ley amplía este plazo hasta el 1 de diciembre de 2023.

La nueva Ley además autoriza la creación de un nuevo regulador específico en materia de protección a informantes, la Autoridad Independiente de Protección del Informante (equivalente en régimen jurídico a la CNMV, la CNMC, la AEPD o el FROB, por ejemplo), con funciones de fomento y promoción de la cultura de la información y capacidad sancionadora.

El incumplimiento de estas nuevas obligaciones que se imponen a las empresas puede sancionarse con multas de hasta un millón de euros y la prohibición de contratar con el sector público durante un plazo de hasta tres años.

La dilatada experiencia de Cuatrecasas en el asesoramiento de alto valor añadido en materia de canales de denuncia ha demostrado que para ciertas empresas la implantación de este tipo de canales supone un verdadero reto, por lo que animamos a todas ellas a trabajar en su implantación con antelación y, sobre todo, antes del 13 de junio de 2023.