Anteproyecto de Ley - Whisteblowing

Requisitos del Sistema interno de información:

1. El responsable de la implantación será el órgano de administración u órgano de gobierno de cada entidad u organismo.
2. La gestión de los sistemas internos de información (recepción de informaciones) se podrá llevar a cabo dentro de la propia entidad u organismo o acudiendo a un tercero externo.

 

Responsable del Sistema interno de información:

3. El órgano de administración u órgano de gobierno de cada entidad u organismo obligado será el competente para designar a la persona física responsable de la gestión del Sistema y de su destitución o cese.

Se deberá notificar a la Autoridad Independiente de Protección del Informante.

4. El Responsable puede ser un órgano colegiado.
5. El responsable del sistema deberá aprobar el procedimiento de gestión de comunicaciones.
6. Deberá desarrollar sus funciones de forma independiente y autónoma respecto del resto de los órganos de organización de la entidad u organismo.
7. En el sector privado el responsable del sistema será un alto directivo de la entidad, que asumirá exclusivamente dichas funciones y que ejercerá su cargo con independencia del órgano de administración o de gobierno de la misma.
8. En las entidades u organismos en las que ya existiera un responsable de la función de cumplimiento normativo, cualquiera que fuese su denominación, podrá ser éste la persona designada como Responsable del Sistema.

Sistema interno de información en el sector privado

Entidades obligadas del sector privado.

1. Personas físicas o jurídicas que tengan contratados 50 o más trabajadores.
2. Personas jurídicas que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente, con independencia del número de trabajadores.

Se incluyen personas jurídicas que, pese a no tener su domicilio en territorio nacional, desarrollen en España actividades a través de sucursales o agentes o mediante prestación de servicios sin establecimiento permanente.

3. Partidos políticos, sindicatos, patronales y fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos.
4. Las personas jurídicas que no estén vinculadas podrán establecer su propio sistema interno de informaciones, que deberá cumplir los requisitos previstos en la presente ley.

Grupos de sociedades.

1. El los grupos de empresas la sociedad dominante aprobará una política general relativa al Sistema y la defensa del informante, y asegurará la aplicación de sus principios en todas las entidades que lo integran.

Sin perjuicio de que cada una pueda establecer el respectivo sistema de gobierno corporativo o de gobernanza del Grupo, y de las modificaciones o adaptaciones.

2. El Responsable del Sistema podrá ser uno para todo el grupo, o bien uno para cada sociedad integrante del mismo, subgrupo o conjunto de sociedades.

Medios compartidos en el sector privado.

1. Las personas jurídicas del sector privado que tengan entre 50 y 249 trabajadores podrán compartir entre sí el sistema interno de información y los recursos destinados a la gestión y tramitación de las comunicaciones (con independencia a si si la gestión se lleva a cabo por la propia entidad o si se ha externalizado).

 

Sistema interno de información en el sector público

Entidades obligadas en el sector público:

1. La Administración General del Estado, las Administraciones de las comunidades autónomas y Ciudades con Estatuto de Autonomía y las Entidades que integran la Administración Local.
2. Los Organismos y Entidades públicas vinculadas o dependientes de alguna Administración pública, así como aquellas otras asociaciones y corporaciones en las que participen Administraciones y organismos públicos.
3. Las Autoridades Administrativas Independientes y las Entidades gestoras y Servicios comunes de la Seguridad Social.
4. Las Universidades públicas.
5. Las Corporaciones de Derecho público.
6. Las fundaciones del sector público.
7. Las sociedades mercantiles en cuyo capital social la participación, directa o indirecta, de entidades mencionadas señaladas sea superior al 50 por 100.
8. La Casa de Su Majestad el Rey, los órganos constitucionales e instituciones autonómicas análogas creadas por los correspondientes Estatutos de Autonomía.

Los organismos públicos con funciones de comprobación o investigación de incumplimientos sujetos a esta norma, distinguirán entre un canal interno referente a los propios incumplimientos del organismo o su personal, y un canal interno referente a las comunicaciones que reciba de los incumplimientos de terceros.

 

Medios compartidos en el sector público.

1. Los municipios de menos de 10.000 habitantes, entre sí o con cualesquiera otras Administraciones públicas que se ubiquen dentro del territorio de la comunidad autónoma, podrán compartir el sistema interno de información y los recursos destinados a las investigaciones y las tramitaciones.
2. Las entidades pertenecientes al sector público con personalidad jurídica propia vinculadas o dependientes de órganos de las Administraciones territoriales, y que cuenten con menos de 50 trabajadores, podrán compartir con la Administración de adscripción.

En ambos casos, se deberá garantizar que los sistemas resulten independientes entre sí y los canales aparezcan diferenciados respecto del resto de entidades u organismos.

3. Gestión del sistema interno de información por tercero externo. La gestión del sistema interno de información por un tercero externo sólo podrá acordarse en aquellos casos en que se acredite una insuficiencia de medios propios.

Esta gestión comprenderá únicamente el procedimiento para la recepción de las informaciones sobre infracciones y, en todo caso, tendrá carácter exclusivamente instrumental.

Disposiciones comunes a los canales internos y externos

1. Información sobre los canales internos y externos de información. Se proporcionará la información adecuada de forma clara y fácilmente accesible, sobre el uso de los canales internos de información que hayan implantado, así como sobre los principios esenciales del procedimiento de gestión.

En caso de contar con una página web, dicha información deberá constar en la página de inicio, en una sección separada y fácilmente identificable.

Registro de comunicaciones.

1. Todos los sujetos obligados deberán contar con un libro-registro de las comunicaciones recibidas y de las investigaciones internas a que hayan dado lugar, garantizando, en todo caso, los requisitos de confidencialidad previstos en la ley.

El registro no será público.

2. Los datos personales relativos a las comunicaciones recibidas y a las investigaciones internas sólo se conservarán durante el período que sea necesario y proporcionado a efectos de cumplir con la ley.

En ningún caso podrán conservarse los datos por un período superior a 10 años.

Régimen del tratamiento de datos personales.

Los tratamientos de datos personales que deriven de la aplicación de la ley se regirán por lo dispuesto en:

1. El Reglamento (UE) 2016/679
2. La Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales
3. La Ley Orgánica 7/2021 de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, y en el presente título.

Delegado de protección de datos. Las entidades obligadas a disponer de un sistema interno de comunicaciones, así como los terceros externos que en su caso lo gestionen, cuando no tuvieran la obligación previa de su designación, deberán nombrar un delegado de protección de datos competente para todos los tratamientos llevados a cabo incluido dicho sistema interno de comunicaciones.

Régimen sancionador

 

Sujetos responsables.

• Están sujetos al régimen sancionador las personas físicas y jurídicas que realicen, a título de dolo, cualquiera de las infracciones.
• Cuando se atribuyan a un órgano colegiado responderán de manera personal sus miembros.
• La exigencia de responsabilidades se extenderá a los responsables incluso aunque haya desaparecido su relación o cesado en su actividad en o con la entidad respectiva.

Infracciones muy graves:

• Cualquier actuación que suponga una efectiva limitación de los derechos y garantías previstos en la ley o cualquier intento o acción efectiva de obstaculizar la presentación de informaciones o de impedir, frustrar o ralentizar su seguimiento.
• La adopción de cualquier represalia frente a los informantes derivada de la comunicación.
• Vulnerar las garantías de confidencialidad y anonimato.
• Vulnerar el deber de mantener secreto sobre cualquier aspecto relacionado sobre la información.
• Comunicar o revelar públicamente información a sabiendas de su falsedad, en las comunicaciones en las que se identifique el informante.

Infracciones graves:

• Cualquier actuación que suponga limitación de los derechos y garantías previstos en la presente ley o cualquier intento o acción efectiva de obstaculizar la presentación de informaciones o de impedir, frustrar o ralentizar su seguimiento que no tenga la consideración de infracción muy grave.
• Vulnerar las garantías de confidencialidad y anonimato previstas en esta ley cuando no tenga la consideración de infracción muy grave.
• Vulnerar el deber de secreto en los supuestos en que no tenga la consideración de infracción muy grave.
• Incumplimiento de la obligación de adoptar las medidas para garantizar la confidencialidad y secreto de las informaciones.

Infracciones leves:

• Remisión de información de forma incompleta, de manera deliberada por parte del Responsable del Sistema a la Autoridad, o fuera del plazo concedido para ello.
• Incumplimiento de la obligación de colaboración con la investigación de informaciones.
• Cualquier incumplimiento de las obligaciones previstas en esta ley que no esté tipificado como infracción muy grave o grave.

Sanciones:

Multas

• Las Personas físicas serán multadas con una cuantía de hasta 10.000 euros por la comisión de infracciones leves; de 5.001 hasta 30.000 euros por la comisión de infracciones graves y de 30.001 hasta 300.000 euros por la comisión de infracciones muy graves.
• Las personas jurídicas serán multadas con una cuantía hasta 100.000 euros en caso de infracciones leves, entre 100.001 y 600.000 euros en caso de infracciones graves y entre 600.001 y 1.000.000 euros en caso de infracciones muy graves.

En el caso de infracciones muy graves, la Autoridad Independiente de Protección del Informante podrá acordar:

1. 1. La amonestación pública.
   2. La prohibición de obtener subvenciones u otros beneficios fiscales durante un plazo máximo de cuatro años.
   3. La prohibición de contratar con el sector público durante un plazo máximo de tres años.

Las sanciones por infracciones muy graves de cuantía igual o superior a seiscientos mil euros impuestas a entidades jurídicas podrán ser publicadas en el Boletín Oficial del Estado.