Canal de denuncias interno. Entidades obligadas y requisitos a cumplir

¿Qué es el canal de denuncias?

El “canal de denuncias interno”, también conocido como el “buzón del chivato” o “whistleblowing”, creado por la Ley 2/2023, es una herramienta que permite a los trabajadores y empleados (incluidos funcionarios, personal por cuenta ajena, voluntarios, becarios, personal en formación, candidatos a un puesto de trabajo, etc.), que hayan obtenido información sobre infracciones en un contexto laboral o profesional, denunciar determinadas conductas que puedan ser constitutivas de infracción penal o administrativa.

Lo que se persigue con esta nueva ley es otorgar una protección adecuada al informante, frente a las represalias que pueda sufrir.

La ley permite gestionar este “buzón” de forma escrita, verbal o de ambas. Es decir, puede hacerse desde diferentes medios: aplicación informática, correo postal, vía telefónica, sistema de mensajería de voz, etc… Si bien, utilizar una aplicación informática tiene múltiples beneficios: el anonimato se garantizará mejor, suele ser más fácil de gestionar e implementar y los informantes lo sienten más sencillo y anónimo.

¿Qué empresas o entidades están obligadas a implementar un canal de denuncias interno?

Dentro del sector privado están obligadas a implementarlo:

• Las empresas que tengan contratados 50 o más trabajadores.
• Las empresas que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente.
• Los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros.

Todas las entidades que integran el sector público, incluidas universidades públicas, corporaciones, fundaciones del sector público, ayuntamientos, etc…

¿Qué ocurre si mi empresa tiene menos de 50 trabajadores?

Las empresas con menos de 50 trabajadores no están obligadas a contar con un buzón interno de denuncias, pero pueden beneficiarse de contar con su propio sistema interno de información. Ello ayuda a promover la transparencia y a prevenir problemas internos, que pueden afectar, tanto a la reputación de la empresa como al bienestar de los trabajadores. En todo caso, las empresas que no están obligadas, si deciden implementarlo, deberán cumplir igualmente los requisitos previstos en la ley.

¿Cuál es el plazo para implementar el buzón de denuncias?

El buzón interno de denuncias es obligatorio desde el 1 de diciembre de 2023, por lo que, si tu empresa está obligada y no lo ha puesto en marcha, debe hacerlo lo antes posible, ya que hay riesgo de multas muy elevadas.

¿Qué requisitos debe cumplir una empresa al implantar un canal de denuncias interno?

Para implantar en nuestra organización el canal de denuncias es necesario cumplir con ciertos requisitos legales y, en concreto, los que permiten garantizar la privacidad, confidencialidad y protección de datos.

A través de este medio se pueden recoger datos de todo tipo, incluidos datos especialmente protegidos y datos sensibles, por lo tanto, debemos ser especialmente cuidadosos en muchos aspectos.

1. Contar con un software que ofrezca garantías adecuadas

Si bien la ley permite gestionarlo de diferentes maneras, lo habitual será contratar una aplicación ya configurada. Es importante que esta herramienta esté diseñada y gestionada de forma segura, para ello es fundamental que:

1. La herramienta garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación.
2. Tenga las medidas técnicas y organizativas suficientes para garantizar la seguridad de los datos que en ella se contienen.
3. La empresa y sus proveedores cumplan la normativa de protección de datos y se firme el contrato de encargo de tratamiento con los requisitos que establece la normativa.
4. Los servidores en los que se aloja la información tengan medidas adecuadas, y que estén ubicados dentro de la Unión Europea.

2. Eliminación de los datos

Los datos deberán eliminarse transcurridos 3 meses desde su introducción en el sistema de denuncias.

Además, no se recopilarán datos personales que no sean necesarios para tratar una información específica o, si se recopilan por accidente, se eliminarán sin dilación indebida.

3. Permisos de acceso

Los derechos de acceso al buzón de denuncias quedarán limitados, dentro del ámbito de sus competencias, y solo si fuera necesario a:

• El Responsable del Sistema y a quien lo gestione directamente.
• El responsable de recursos humanos o el órgano competente debidamente designado.
• El responsable de los servicios jurídicos.
• Los encargados del tratamiento.
• El delegado de protección de datos.

4. Formación y concienciación

Es fundamental que aquellas personas que gestionan las informaciones tengan formación y concienciación en materia de privacidad y protección de datos. Ello incluye a los encargados del tratamiento, entre ellos, el personal de las empresas que ofrecen herramientas de software para gestionar el buzón.

5. Informar a los trabajadores

Se deberá informar a todos los trabajadores de la empresa de que existe un buzón de denuncias, explicando su existencia y funcionamiento. Esta información puede darse en el contrato, a través de circulares informativas, por correo electrónico, etc…

6. Aprobar un procedimiento de gestión de informaciones

El órgano de administración u órgano de gobierno de cada entidad u organismo obligado aprobará el procedimiento de gestión de informaciones, que establecerá las previsiones necesarias para que el Sistema interno de información y los canales internos de información existentes cumplan con los requisitos establecidos en la ley.

7. Cumplir las obligaciones en materia de protección de datos como responsables de un nuevo tratamiento

Con la implantación del canal de denuncias se produce un nuevo tratamiento de datos de carácter personal que deberá que reflejar en el Registro de Actividades de Tratamiento de la empresa.

Además, deberán cumplirse el resto de obligaciones que tiene la empresa como responsable del tratamiento: información a los interesados, resolución de derechos ARCO, etc.

8. Comunicaciones verbales

Las comunicaciones verbales, incluidas las realizadas a través de reunión presencial, telefónicamente o mediante sistema de mensajería de voz, deberán cumplir una serie de obligaciones, entre ellas documentarse de alguna de las maneras siguientes, previo consentimiento del informante:

• Mediante una grabación de la conversación en un formato seguro, duradero y accesible.
• A través de una transcripción completa y exacta de la conversación realizada por el personal responsable de tratarla.

Además, se ofrecerá al informante la oportunidad de comprobar, rectificar y aceptar mediante su firma la transcripción de la conversación.

9. Delegado de protección de datos

El preámbulo de la Ley señala que aquellas entidades obligadas a la implantación del buzón de denuncias, así como los terceros externos que lo gestionen están obligadas a contar con un DPD en su organización.

Sin embargo, a lo largo del articulado de la ley observamos que esta obligación solo aplica a la Autoridad Independiente de Protección del Informante, y las autoridades independientes que en su caso se constituyan, por lo que se trata de una errata de la norma y que, si en el articulado no se reitera la obligación, no será necesario el nombramiento del mismo en todas las empresas de más de 50 empleados o en los terceros externos que lo gestionen.

¿Existen sanciones por incumplimiento?

La norma es muy estricta en este sentido y establece sanciones económicas muy elevadas, de hasta un millón de euros.

Por lo que si eres una empresa de más de 50 trabajadores y aún no tienes implementado un canal de denuncias interno en la organización te recomendamos que lo hagas cuanto antes.

Si necesitas ayuda y quieres contratar un software para implementar un canal de denuncias interno con todas las garantías, te recomendamos contactar RCB Asesoría Legal Tecnológica.