A partir del día 13 de Marzo de 2023, entrará en vigor la Ley 2/2023, la cual obligará a aquellas las empresas y entidades públicas a disponer de un sistema interno de información donde los trabajadores puedan informar vulneraciones del ordenamiento jurídico en el marco de una relación profesional.
La ley transpone la directiva 2019/1937, y busca proteger a las personas que, conocedoras de infracciones en un contexto laboral o profesional de las organizaciones públicas o privadas para las que trabajan o prestan servicios puedan denunciarlas sin temor a represalias.

De este modo, están obligados a disponer del Sistema interno de información las entidades del sector privado, entre ellas: 
- Empresas compuestas por 50 o más empleados.
- Partidos políticos, sindicatos, organizaciones empresariales y fundaciones siempre que reciban o gestionen fondos públicos.
- Grupos de sociedades.

Y a todas las entidades del sector público. 

El plazo de cumplimiento de la norma son 3 meses desde la entrada en vigor de esta (el día 13-6-2023), salvo para las empresas con 249 trabajadores o menos, o municipios de menos de 10.000 habitantes que tienen de plazo hasta el día 1 de diciembre 2023.

La implementación estará a cargo del órgano de administración o de gobierno de cada entidad u organismo con previa consulta a la representación legal de los trabajadores.

La ley no habla de canal de denuncias, sino que se refiere a sistemas internos de informaciones.  Estos, deben ser diseñados de forma segura, para que garantice la confidencialidad de la identidad del informante. De este modo, las denuncias pueden realizarse de forma verbal (vía telefónica o mensajes de voz), escritas (correo postal o cualquier medio electrónico) o a través de una reunión presencial a solicitud del informante.

El canal debe de contar con un responsable del sistema y debe permitir denuncias anónimas.

Designación de un responsable

Debe designarse un responsable del sistema cuyo nombramiento debe comunicarse a la autoridad independiente de protección del informante.  Debe desarrollar sus funciones de forma independiente y autónoma y no puede recibir instrucciones. En caso del sector privado debe ser un directivo.  Si existe un responsable de cumplimiento normativo, será esa persona.

El procedimiento de gestión de las denuncias

Puede ser gestionado de dos maneras:

a.- Internamente por la propia organización, a través de un canal interno, que será considerado responsable del tratamiento.
b.- Externamente con garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto de las comunicaciones, y en este caso la empresa externa será considerada encargado del tratamiento.

Deben redactarse una política con los principios generales que debe publicarse en la web y con un sistema de gestión de las informaciones recibidas. Además, debe identificarse de forma clara el canal, con envío de acuse de recibo en el plazo de 7 días desde la comunicación y plazo máximo de 3 meses para dar respuesta a la investigación con información de los derechos de la persona afectada, garantía de confidencialidad y remisión de la denuncia al Ministerio Fiscal cuando los hechos puedan ser constitutivos de delito.

La persona afectada, a quien se le imputa los incumplimientos, tiene derecho a la presunción de inocencia, al derecho de defensa y al derecho de acceso al expediente preservándose su identidad y garantizándose la confidencialidad de los hechos y datos del procedimiento. La persona afectada puede ser a su vez informante. 

Protección de datos personales

Se aplica la normativa de protección de datos personales, entre ellas la licitud, el derecho de información, las personas que pueden tener acceso a la información y la preservación de la identidad del informante.

Las personas que comuniquen o revelen infracciones no pueden ser objeto de represalias tales como el despido, la no renovación del contrato o su suspensión, referencias negativas, acoso, coacciones, inclusión en listas negras o cualquier tipo de discriminación.

Además, la ley prevé un conjunto de medidas de apoyo para la persona informante.

Las sanciones pueden ser leves, graves y muy graves con una multa máxima de 1.000.000 de euros.

Desde OptimumTIC contamos con un equipo especializado en Privacy & Compliance, el cual está formado por abogados, criminólogos, auditores y técnicos especialistas en estándares de seguridad como la ISO 27001 o el Esquema Nacional de Seguridad (ENS), así como técnicos especialistas en Protección de Datos. Gracias a nuestros profesionales establecemos planes completos de adecuación y cumplimiento a las normativas vigentes en ciberseguridad o a la adecuación de leyes como la expuesta en esta información. 

Uno de nuestros pilares es la actualización y mejora continua, por lo que siempre nos mantenemos actualizados de las últimas novedades en derecho tecnológico. Además, estamos adheridos y somos miembros del catálogo de empresas y soluciones de ciberseguridad del INCIBE (Instituto Nacional de Ciberseguridad).

Si desea más información sobre nuestros servicios o productos, puede contactar con nosotros sin compromiso a través de nuestra página web: www.optimumtic.com o escribiéndonos a info@optimumtic.com