Con objeto de facilitar el cumplimiento de la Ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, se ha elaborado la siguiente nota, dando respuesta a las consultas planteadas por parte de algunos de los miembros de este Consejo General.
1 de diciembre de 2023: Fecha límite para implantar su canal de denuncias
- A tenor de lo dispuesto en el artículo 1 de la Ley 2/2023 hay dos tipos de sujetos obligados por la ley a implantar un sistema interno de información:
- Primero, “las personas físicas o jurídicas del sector privado que tengan contratados 50 o más trabajadores” (artículo 1.1a) Ley 2/2023, énfasis añadido).
- Segundo, aquellas “personas jurídicas del sector privado que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente a que se refieren las partes I.B y II del anexo de la Directiva (UE) 2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, deberán disponer de un Sistema interno de información que se regulará por su normativa específica con independencia del número de trabajadores con que cuenten.” (artículo 1.1b) 2/2023, énfasis añadido
De ello se puede extraer que todos los colegiados, ya sean personas físicas o jurídicas, que tengan contratados 50 o más trabajadores están obligados a instaurar un canal de denuncias en línea con lo estipulado en la Ley 2/2023. También se entienden obligadas las personas jurídicas que entran en el ámbito de aplicación de los actos de la Unión Europea aun cuando estas no estén domiciliadas en el territorio nacional (artículo 1.1b) in fine).
Por tanto, las compañías de entre 50 y 249 empleados tienen hasta el próximo 1 de diciembre para habilitar un canal interno a través del cual los trabajadores puedan denunciar de forma anónima conductas de corrupción. ¿Cuáles son los requisitos y qué sanciones habrá?
La nueva Ley de Protección al Informante, en vigor desde el 13 de marzo, impone a todas las empresas de más de 50 empleados, entidades públicas, organizaciones políticas y sindicales con fondos públicos contar con un sistema interno de información o canal de denuncias.
Tal y como se indica en la Disposición Transitoria Segunda de la Ley 2/2023, de 20 de febrero, el plazo máximo para establecer este sistema interno de información depende del número de trabajadores que tenga la compañía:
- Empresas de 250 o más trabajadores: Las Administraciones, organismos, empresas y demás entidades obligadas debieron implantarlo en el plazo máximo de tres meses a partir de la entrada en vigor de la ley, esto es, antes del 13 de junio.
- Empresas del sector privado de 50 a 249 trabajadores: En el caso de las entidades jurídicas del sector privado con 249 trabajadores o menos, así como de los municipios de menos de diez mil habitantes, el plazo para establecer un canal de denuncias se extenderá hasta el 1 de diciembre de 2023.
- Empresas que ya contaban con un canal de denuncias: se establece un plazo de seis meses para adaptarlo a lo establecido en la norma. Hasta el 13 de septiembre.
La creación e implementación del canal debe hacerse previa consulta con la representación legal de las personas trabajadoras.
En este punto es importante enfatizar dos elementos:
- El artículo 2.2 de la Ley 10/2010 enfatiza que “[t]ienen la consideración de sujetos obligados las personas físicas o jurídicas que desarrollen las actividades mencionadas en el apartado precedente. No obstante, cuando las personas físicas actúen en calidad de empleados de una persona jurídica, o le presten servicios permanentes o esporádicos, las obligaciones impuestas por esta Ley recaerán sobre dicha persona jurídica respecto de los servicios prestados.” Esto es decir que toda vez que los economistas actúan en un régimen laboral con una empresa (como economista por cuenta ajena) estos colegiados no tienen la obligación de instaurar un canal de denuncias dado que esta obligación le incumbe a la empresa a la que pertenece si esta entra dentro del ámbito de aplicación de, ya sea, la Ley 2/2023 o la Ley 10/2010.
- El artículo 2.3 de la Ley 10/2010 estipula que “reglamentariamente podrán excluirse aquellas personas que realicen actividades financieras con carácter ocasional o de manera muy limitada cuando exista escaso riesgo de blanqueo de capitales o de financiación del terrorismo.” Por lo cual es relevante acudir al desarrollo reglamentario de la Ley 10/2010 tras evaluar cuáles de las obligaciones allí contenidas están sometidas a dispensa reglamentaria.
- Atendiendo a los artículos 26 y 26 bis de la Ley 10/2010, incluidos en el Capítulo IV relativo al Control Interno, se puede observar cómo ambas disposiciones prevén la existencia de una excepción reglamentaria de ciertas obligaciones contenidas en ambos artículos. En el caso del artículo 26 su apartado 7 indica que “reglamentariamente podrán determinarse los sujetos obligados exceptuados del cumplimiento de las obligaciones relacionadas en los apartados 1, 2 y 5 de este artículo”. Estas son las obligaciones de aprobar y aplicar políticas y procedimientos adecuados en materia de diligencia debida, información, conservación de documentos, control interno, evaluación y gestión de riesgos, garantía del cumplimiento de las disposiciones pertinentes y comunicación (artículo 26.1 Ley 10/2010), la aprobación y aplicación de una política de admisión de clientes (artículo 26.2), y la obligación de aprobar un manual adecuado para la prevención de blanqueo de capitales y de la financiación del terrorismo (artículo 26.5 Ley 10/2010).
Por su parte el artículo 26 bis de la Ley 10/2010 (añadido por el artículo 2.13 del Real Decreto-Ley 11/2018) también prevé, en su apartado 5º, la posibilidad de exceptuar a los sujetos obligados del cumplimiento de la obligación de instaurar un sistema de información interna, pero no realiza un desglose comparable al visto en el artículo 26 bis.
En este momento cabe enfatizar que el único desarrollo reglamentario de la Ley 10/2010 que hemos podido encontrar es el Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, que entró en vigor el 5 de mayo de 2014 (esto es lo que se indica, por ejemplo en https://www.sepblac.es/es/sujetos-obligados/preguntas-frecuentes/). Es importante enfatizar que el citado RD 304/2014 fue promulgado antes de la introducción del artículo 26 bis de la ley 10/2010 (mediante RDL 11/2018) e incluso antes de la entrada en vigor de la ley 2/2023 el 13 de marzo de 2023. Por ello, si bien este es el único desarrollo reglamentario que existe en nuestro ordenamiento jurídico al respecto, este no ha sido modificado para adecuarlo a las nuevas exigencias de la ley 2/2023 por lo que cabría entender que se promulgará un reglamento más específico en la materia
Dicho esto, el artículo 31.1 del vigente Real Decreto 304/2014 indica que “los corredores de seguros y los sujetos obligados comprendidos en los apartados i) a u), ambos inclusive, del artículo 2.1 de la Ley 10/2010, de 28 de abril, que, con inclusión de los agentes, ocupen a menos de 10 personas y cuyo volumen de negocios anual o cuyo balance general anual no supere los 2 millones de euros, quedan exceptuados de las obligaciones referidas en este artículo y en los artículos 32, 33, 35, 38 y 39. Estas excepciones no serán aplicables a los sujetos obligados integrados en un grupo empresarial que supere dichas cifras.” Es decir, que quedan exceptuados los sujetos obligados a realizar lo siguiente: un análisis de riesgo (artículo 32 RD 304/2014), elaborar un manual de prevención (artículo 33 RD 304/2014), designar un órgano de control interno (artículo 35 RD 304/2014), de realizar un examen externo (artículo 38 RD 304/2014), y de aprobar e implantar un plan anual de formación (artículo 39 RD 304/2014.
Al estar comprendidos en las letras m) a o), ambos inclusive, del artículo 2.1 de la Ley 10/2010 entendemos que las personas jurídicas colegiadas, si reúnen las características descritas, pueden hacer uso de esta excepción para no implantar un sistema de información interno en línea con lo estipulado en la ley 2/2023.
Dicho esto, dentro de los artículos de los que quedan exceptuados los sujetos obligados no se ha podido encontrar una mención expresa de la exención de implantar un sistema de información interno a tenor de lo dispuesto en la Ley 2/2023. Lo más similar a esta obligación se puede encontrar los diversos apartados del artículo 33.1 del RD 304/2014 en el cual se detallan los diferentes elementos del manual de prevención.
No obstante, y si centramos nuestra atención en las otras obligaciones (de diligencia debida y muy en particular de información) podemos encontrar una excepción comparable a la que figura en el artículo 31.1 del RD 304/2014. El artículo 27.3, por ejemplo, indica que “[q]uedan exceptuados de la obligación de comunicación sistemática los corredores de seguros a los que se refiere el artículo 2.1 b) de la Ley 10/2010, de 28 de abril, las empresas de asesoramiento financiero y los sujetos obligados mencionados en los párrafos k) a y), ambos inclusive, del artículo 2.1 de la misma ley”. Al estar los economistas comprendidos en los párrafos m) a o), ambos inclusive, de la Ley 10/2010 se considera que estos quedan exceptuados de la obligación de comunicación sistemática. También en virtud del artículo 28.2 in fine, quedan exceptuados de conservar toda la documentación obtenida o generada en aplicación de las medidas de diligencia debida “los sujetos obligados que, con inclusión de los agentes, ocupen a menos de 10 personas y cuyo volumen de negocios anual o cuyo balance general anual no supere los 2 millones de euros, que podrán optar por mantener copias físicas de los documentos de identificación”.
Si analizamos las situaciones en las cuales se considera exceptuado un sujeto obligado de obedecer en ciertas obligaciones en relación con la prevención del blanqueo de capitales se puede observar un elemento importante ya descrito en artículo 2.3 de la Ley 10/2010: se excluye a “aquellas personas que realicen actividades financieras con carácter ocasional o de manera muy limitada cuando exista escaso riesgo de blanqueo de capitales o de financiación del terrorismo.” En efecto, tanto en el artículo 28.2, como en el artículo 31.1 del RD 304/2014 contemplan el hecho de la empresa ocupe “a menos de 10 personas” y que su balance general anual “no supere los 2 millones de euros” como causa de eximir a la empresa de cumplir con ciertas obligaciones. Esto se realiza, en línea con el artículo 2.3 de la Ley 10/2010, para no obligar a aquellos sujetos cuyas actividades no entrañen el nivel mínimo de riesgo para instaurar medidas de prevención y control.
Es importante enfatizar que para determinar si un individuo es un sujeto obligado se deberá poner especial atención en el artículo 31.3 del RD 304/2014 que indica lo siguiente: “Los umbrales fijados para la determinación de las medidas de control interno aplicables conforme a esta sección y las exigencias en materia de conservación de documentos a que hace referencia el artículo 28 serán interpretados de conformidad con los criterios establecidos en la Recomendación 2003/361 de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas”. Es decir, para determinar si uno de los colegiados puede hacer uso de la excepción prevista en los artículos 28 y 31 del RD 304/2014 se tendrá que acudir a la Recomendación 2003/361 de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.
Requisitos
El canal de denuncias, o sistema de información interno, como lo denomina la normativa, debe cumplir con una serie de características y requisitos para ser considerado válido y efectivo. En todo caso, debe:
- Contemplar las medidas necesarias para garantizar la confidencialidad de los denunciantes y los denunciados;
- tener asignado un responsable, bien sea una persona o un órgano colegiado. Este responsable debe poder realizar sus funciones de manera independiente y autónoma;
- desarrollar un protocolo de uso en el que se explique qué hechos son denunciables, cómo utilizarlo, cómo se deben presentar las denuncias y qué esperar del procedimiento;
- informar qué no se puede denunciar o comunicar y las consecuencias de presentar denuncias falsas;
- permitir realizar comunicaciones por escrito o verbalmente, o de las dos formas. Las comunicaciones verbales, incluidas las realizadas a través de reunión presencial, telefónicamente o mediante sistema de mensajería de voz, deberán documentarse de alguna de las maneras siguientes, previo consentimiento del informante. Podría ser mediante una grabación de la conversación en un formato seguro, duradero y accesible; o a través de una transcripción completa y exacta de la conversación realizada por el personal responsable de tratarla.
- detallar de forma clara y accesible, los canales externos de información ante las autoridades competentes y, en su caso, ante las instituciones, órganos u organismos de la Unión Europea
Procedimiento
– Acuse de recibo en un plazo máximo de 7 días naturales, salvo que ponga en riesgo la confidencialidad.
– El plazo de investigación no puede ser superior a 3 meses, salvo complejidad especial, que se podría ampliar a otros 3 meses.
– Posibilidad de interlocución con el informante por si fuera necesario recabar más información.
– El denunciado debe tener la oportunidad de ser escuchado acerca de los hechos de los que se le acusa.
– Protección de los datos personales de todos los implicados.
Sanciones
El incumplimiento de la obligación de disponer de un sistema interno de información se considera como infracción muy grave y como tal puede ser sancionada con multas:
- De 30.001 hasta 300.000 euros si se trata de personas físicas y
- De 600.001 hasta 1.000.000 de euros en caso de empresas
Adicionalmente, la Autoridad Independiente de Protección del Informante, A.A.I. podrá acordar:
- a) La amonestación pública
- b) La prohibición de obtener subvenciones u otros beneficios fiscales durante un plazo máximo de cuatro años.
- c) La prohibición de contratar con el sector público durante un plazo máximo de tres años de conformidad con lo previsto en la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.
Las sanciones por infracciones muy graves de cuantía igual o superior a 600.001 euros impuestas a entidades jurídicas podrán ser publicadas en el «Boletín Oficial del Estado», tras la firmeza de la resolución en vía administrativa. La publicación deberá contener, al menos, información sobre el tipo y naturaleza de la infracción y, en su caso, la identidad de las personas responsables de las mismas de acuerdo con la normativa en materia de protección de datos. (arts. 63 y 65 Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Además de la ley aprobada el pasado mes de febrero, existen otras normas que contemplan este deber y sancionan su incumplimiento. Por ejemplo:
- Sanción de hasta 60.000 € por infracción leve de la Ley de Prevención del Blanqueo de Capitales. (Ley 10/2010, de 28 de abril)
- Sanciones que pueden alcanzar los 225.018 € por infracciones (según su gravedad) de la normativa de Igualdad (recordemos que contar con un protocolo de prevención del acoso sexual o por razón de sexo es una obligación contemplada para todo tipo de organizaciones y ese protocolo debe contar con un canal de denuncias).