La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción se ha publicado hoy, 21 de febrero de 2022, en el BOE, tras haber pasado los trámites correspondientes en el Senado y en el Congreso de los Diputados. Con la aprobación de esta Ley, se incorporará al Derecho español la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019. La adaptación de las empresas obligadas deberá realizarse en el plazo de tres meses desde la entrada en vigor, con alguna excepción para ciertas empresas y entes públicos. Veamos a continuación cuales son los aspectos más relevantes.
Ámbito de aplicación:
El objeto de la Ley es proteger a las personas que informen acerca de infracciones en el ámbito (1) del Derecho de la Unión en relación con contratación pública, mercados financieros y prevención del blanqueo de capitales, seguridad de los productos y transporte, protección del medio ambiente y de los consumidores, salud pública, protección de datos y seguridad de las redes y sistemas de información, entre otros y sobre (2) acciones u omisiones constitutivas de infracciones penales o administrativas graves o muy graves, por ejemplo, en materia tributaria o de seguridad social.
Dicha normativa se aplicará tanto a los trabajadores como a aquellos terceros que se relacionen con la empresa tales como clientes o proveedores, socios o accionistas y, en general, a aquellos que se relaciones de una u otra manera con la empresa y que quiera informar acerca de cualquiera de las irregularidades indicadas.
Sistema de información interno y protección de datos:
Las empresas (persona física o jurídica) de más de 50 trabajadores y administraciones públicas, independientemente del número de trabajadores con el que cuenten, estarán obligadas a disponer de un sistema interno de información como medio adecuado para informar sobre las acciones u omisiones indicadas. Dicho sistema de información deberá implantarse previa consulta con la representación legal de los trabajadores, siendo la empresa el responsable del tratamiento de los datos recabados a través de este, debiendo garantizar la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación.
La gestión del sistema de información podrá llevarse por la propia empresa o bien por un tercero externo a la misma que tendrá, en ese caso, la consideración de encargado del tratamiento.
Cuando sea obligatorio contar con un sistema de comunicación interno la base de legitimación para el tratamiento de los datos incluidos será el cumplimiento de obligaciones legales y, si se opta, de manera voluntaria, por su creación, el cumplimiento de una misión en interés público, si bien es cierto que, en ese caso, el tratamiento, de conformidad con lo establecido en el art. 8.2 LOPDyGDD, debe derivarse de una competencia atribuida por una norma con rango de Ley. En caso de que se traten categorías especiales de datos personales deberá acudirse a la excepción del art. 9.2 g) del RGPD, esto es, interés público esencial, aunque posteriormente, en el art. 32 de la Ley, se establece que “si la información recibida contuviera datos personales incluidos dentro de las categorías especiales de datos, se procederá a su inmediata supresión, sin que se proceda al registro y tratamiento de los mismos”.
En cualquier caso, deberá facilitarse a los interesados la información establecida en el art. 13 y ss. del RGPD. En ningún caso se informará a la persona a la que se refieran los hechos de la identidad de la persona informante, por lo que dicha información queda fuera del derecho de acceso.
Transcurridos tres meses sin haberse iniciado investigación deberá procederse a la supresión de los datos salvo que sea necesario para dejar evidencia del funcionamiento del sistema, siendo, en todo caso, el plazo máximo de conservación no superior a 10 años.
Si se producen comunicaciones de datos a terceros, el informante tiene derecho a que su identidad no sea revelada, a salvo la comunicación a la autoridad judicial o administrativa competente debiendo trasladarse previamente al informante.
En relación al nombramiento de Delegado de Protección de Datos (DPO) existe una incongruencia notable en el preámbulo de la Ley y lo establecido en el artículo 34 de la misma, pues en el primero se establece la obligatoriedad de las entidades sujetas a la normativa a nombrar un DPO, mientras que en dicho artículo ello solo se prevé para “la Autoridad Independiente de Protección del Informante, A.A.I., y las autoridades independientes que en su caso se constituyan”.
Autoridad Independiente de Protección al Informante:
La Ley también crea la figura de la Autoridad Independiente de Protección al Informante a los efectos de que toda persona física pueda informar ante esta autoridad (o ante las autoridades u órganos autonómicos correspondientes), de la comisión de cualesquiera acciones u omisiones incluidas en el ámbito de aplicación de esta ley, ya sea directamente o previa comunicación a través del correspondiente canal interno.
A dicha autoridad o las autonómicas competentes también les corresponderá la potestad sancionadora. La cuantía de las sanciones podrá ir desde los 1.001 euros hasta los 300.000 euros si son personas físicas las responsables de las infracciones y de 100.000 euros a 1.000.000 euros si se trata de personas jurídicas.