Skip to content

Sistemas de gestión de cumplimiento y canales de denuncia

La comisión de Cumplimiento de Angeco ha celebrado una sesión informativa para abordar las novedades legislativas que introduce la nueva ley 2/2023 de 20 de febrero con el objetivo de facilitar a los asociados la adaptación de los canales éticos a la nueva ley.

El equipo de expertos de Broseta Abogados fue el encargado de realizar la presentación y contestar las preguntas que los asociados hicieron, en un Webinar que contó con amplia asistencia.

La finalidad de esta ley es proteger a las personas que, en un contexto laboral o profesional, informen de hechos delictivos o de infracciones administrativas graves o muy graves.

Ámbito de aplicación

Para ello, se establece el alcance de la ley a aquellas acciones u omisiones que puedan suponer infracciones del derecho de la Unión Europea, además de acciones u omisiones constitutivas de infracción penal o administrativa grave o muy grave.

Están obligados a mantener estos procedimientos de denuncia aquellas empresas que tengan más de 50 trabajadores, así como las personas jurídicas específicamente obligadas por las leyes europeas, pero también aquellas empresas que voluntariamente hayan decidido tener un canal de denuncias.

Las empresas deben contar con un sistema de información, lo que significa que deben disponer de un responsable del sistema, una política del sistema de defensa del informante, canales internos y externos de denuncia y un procedimiento de gestión de las informaciones.

Requisitos del sistema

El sistema de información debe cumplir con una serie de requisitos, como es el que debe estar accesible no sólo para todos los empleados con independencia de su rango, sino también para exempleados, candidatos a empleados y todos los terceros con los que la empresa se relaciona.

Debe ser un sistema que garantice la seguridad y confidencialidad para todas las partes y que integre los distintos canales de comunicación. Es importante que se trate toda la información de manera efectiva para lograr que sea la empresa la primera en estar informada de cualquier infracción. Debe, asimismo, cumplir con requisitos de información específicos como publicar la política, los procedimientos y el responsable del sistema, las garantías de protección con las que cuenta y los medios externos en el momento en que se determinen. Por último, debe establecer también los medios para comunicar las infracciones. En este último sentido, la ley establece como obligatorio dar la posibilidad de que uno de estos medios sea mediante reunión presencial.

Una de las preguntas que surgen a este respecto es si sirve establecer un email para este tipo de comunicaciones. Aunque existen herramientas que pueden ser mejores, un email puede ser válido siempre que cumpla con una serie de requisitos como son: la preservación de la identidad del denunciante, confidencialidad, protección de datos, conservación de los datos sólo en tiempo imprescindible, acuse de recibo, un plazo máximo de respuesta de 3 meses, una vía alternativa en caso de conflicto de intereses entre el hecho denunciado y el receptor del email, y un libro de registro de las comunicaciones recibidas.

El sistema de información debe contar con:

  • Órgano de administración que será el responsable de la implementación del sistema, así como de nombrar al responsable y al gestor del mismo. Debe aprobar la política del sistema y comunicarlo.
  • Responsable del sistema que deberá tramitar las informaciones de manera diligente. Debe ser un directivo de la entidad y debe ser una persona que goce de autonomía completa y medios materiales y personales suficientes.
  • Gestor del sistema que será quien reciba las informaciones.

Con relación al plazo para la implantación de este sistema en las empresas obligadas, la ley establece hasta el 1 de diciembre de 2023 para aquellas empresas de menos de 250 empleados y hasta el 13 de junio de 2023 para las que cuenten con más de 250 empleados.

Protección de datos de carácter personal

En lo que se refiere a los temas de protección de datos, la nueva ley no es muy diferente de lo que ya existía, estableciéndose la licitud del tratamiento de datos necesario para garantizar la protección de las personas informantes.

Se establece un régimen específico para la creación de canales de denuncias en los grupos de sociedades. En estos casos, se permite la existencia de un canal único para todo el grupo pudiendo existir un responsable único o un responsable por cada sociedad del grupo. Asimismo, se permite el intercambio de información entre los distintos responsables creando un régimen de corresponsabilidad.

Existen determinados deberes de información y transparencia hacia las personas físicas que incluyen la información sobre el tratamiento de sus datos, sobre la protección de su identidad que sólo podrá ser comunicada a la autoridad judicial, al ministerio fiscal o a la autoridad administrativa en el cauce de una investigación.

Los datos objeto de tratamiento deberán suprimirse del canal de denuncias una vez que ya no sean necesarios y como máximo en un plazo de 3 meses.

Existen también limitaciones de acceso a los datos del canal de denuncias. Sólo podrán acceder el responsable del canal, los responsables de RRHH cuando pueda haber sanciones disciplinarias para el trabajador, el responsable de los servicios jurídicos cuando proceda la adopción de medidas legales, los encargados de tratamiento y el delgado de protección de datos.

Herramientas de software de gestión

Finalmente, y en relación con la implantación de un software de gestión, los expertos recalcaron que el mismo debe contar con protocolos seguros con certificado, cumplir con la legislación nacional y de la UE, certificación ISO 27001, ser una plataforma con certificación en el ENS de nivel medio, los servidores deben estar alojados en la UE, realizar copias de seguridad, garantizar la confidencialidad de las comunicaciones mediante cifrado y almacenamiento cifrado de la información, anonimato de las denuncias, disponibilidad de la herramienta 24x7x365 y trazabilidad directa de todas las interacciones con la aplicación.

Esta web utiliza cookies propias para su correcto funcionamiento. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Más información
Privacidad