Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities.jpg)
Transparencia del Sistema interno de información: ¿Cómo garantizamos su eficacia?
Ante la transposición de la conocida Directiva Whistleblowing, a través de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción y su inminente entrada en aplicación para las organizaciones de mayor volumen a mediados del mes de junio debemos plantearnos cómo se debe implantar un Sistema Interno de Información que sirva para el cumplimiento de los objetivos de compliance que la organización (Administración Pública o empresa privada) se haya establecido.
Una de las principales cuestiones que deben de abordarse en cualquier sistema interno de información para que sea eficaz es la siguiente: ¿quién debería tener acceso al “canal de denuncias”? Y, relacionado con lo anterior, ¿cómo y dónde debe de publicarse?
Con carácter previo a la existencia de la Ley 2/2023, la Agencia Española de Protección de Datos (en adelante AEPD) ya se había preocupado de los criterios de transparencia que deberían regir el Sistema Interno de Información. Si bien ceñido a los empleados, por lo que trató este tema en la Guía de “Protección de Datos en las relaciones laborales”.
En ella, y refiriéndose a “la existencia de estos sistemas y del tratamiento de los datos que conlleva la formulación de una denuncia”, señalaba que “la información reviste en este caso un carácter primordial”. La AEPD fijaba que dicha información podría ofrecerse desde distintas vías:
- En el propio contrato de trabajo.
- En circulares informativas.
- De forma individual o colectiva al implementar o modificar el sistema.
Ahora la Ley 2/2023 establece un criterio para garantizar la eficacia del sistema de información, y no hablamos únicamente del tratamiento de los datos personales, pero de nuevo nos lleva a la información y, por tanto, a la transparencia.
Es decir, no solamente debe informarse en los términos de los artículos 13 y/o 14 del RGPD, sino que debe informarse de cómo se debe usar el canal y qué principios lo rigen. Si la AEPD comentaba distintas vías de información, el legislador ha dado un paso más y obliga a que las entidades lo publiquen en su propia página web, y no de cualquier manera, sino enlazada a su página de inicio “en una sección separada y fácilmente identificable”.
Foto: Anh Tuan To / Unsplash
Análisis del artículo 25 de la Ley 2/2023 de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción
El artículo 25 establece que: “Los sujetos comprendidos dentro del ámbito de aplicación de esta ley proporcionarán la información adecuada de forma clara y fácilmente accesible, sobre el uso de todo canal interno de información que hayan implantado, así como sobre los principios esenciales del procedimiento de gestión.
En caso de contar con una página web, dicha información deberá constar en la página de inicio, en una sección separada y fácilmente identificable.”
Lo que podemos entender de la literalidad del artículo, es que todos los sujetos obligados —cualquiera que sea su naturaleza jurídica— deben de publicar la información que permita el uso de su canal de denuncias en la página web.
¿Está señalando la Ley que deba publicarse el enlace o el formulario desde donde hacer la denuncia? Si atendemos a la literalidad de la norma, consideramos que NO.
En esa sección “separada y fácilmente identificable” se deben incluir las instrucciones necesarias para que las partes interesadas hagan uso de los canales de los que dispone el sistema interno de información y poder comunicar los hechos que puedan ser o bien constitutivos de una infracción grave penal o administrativa, o bien de cualesquiera infracciones del derecho de la UE, así como los principios esenciales del procedimiento de gestión del canal de conformidad con el artículo 9 de esta Ley.
Por tanto, si no existe obligación de publicar el canal en la página web y debe de facilitarse información sobre el mismo y también su acceso, habría que analizar, teniendo en cuenta los posibles informantes, cuáles son los medios más idóneos sobre su ubicación según las diversas personas informantes.
 (1).jpg)
Foto: Anh Tuan To / Unsplash
¿Cuáles son los posibles espacios de ubicación del canal según los diversos posibles informantes?
Haciendo un análisis de todos los posibles informantes que pueden hacer uso del canal, entendemos que se podrían plantear, al menos, los siguientes mecanismos:
- Para todos los trabajadores o empleados públicos, becarios, trabajadores en período de formación, extrabajadores, etc. la mejor ubicación del canal sería ponerlo a su disposición en la Intranet de la empresa.
Pero ¿qué ocurre si no tenemos intranet? ¿Qué ocurre con aquellos cuya relación laboral todavía no ha empezado o ya ha terminado?
La solución más sencilla para la organización sería habilitar un espacio en la página web de la Entidad poniéndolo a disposición de todas esas personas que no guardan ninguna relación formal con la Entidad al momento de informar sobre cualquier tipo de infracción prevista en el ámbito material de la norma. - Con respecto de los accionistas, partícipes y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa, incluidos miembros no ejecutivos, entendemos que podríamos mantener el mismo criterio anterior.
- Por último, para el caso de cualquier persona que trabaje para o bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores, o autónomos, podría haber varias soluciones.
Como éstos no forman parte de la organización, podría ponerse a su disposición, bien la plataforma utilizada por la organización para la coordinación de actividades empresariales, bien la plataforma utilizada por la organización para la selección y control de los proveedores, o bien propia página web de la organización, con las posibles ventajas e inconvenientes como ahora veremos.
Además de lo anterior y analizando punto por punto las personas que se determinan dentro del alcance de la norma, no debería perderse el foco en que, incluso el Código Penal determina, como parte del modelo de prevención de delitos, la necesidad de que exista un instrumento de comunicación para que, cualquier persona que conozca un hecho que pueda suponer responsabilidad penal a la persona jurídica, pueda ponerlo en conocimiento de la organización.
Por lo que existe un alto interés de la organización de que, cualquiera que pudiera conocer de un posible hecho delictivo dentro de la misma, pueda acceder de la forma más fácil y rápida posible a los canales internos de información puestos a su disposición.
Foto: Anh Tuan To / Unsplash
Ventajas e inconvenientes de publicar el enlace “en abierto”
Partiendo de la base de que para que Sistema funcione ha de ser conocido por todos los sujetos antes mencionados y que potencialmente pueden informar sobre hechos dentro del ámbito de aplicación de la norma, debemos preguntarnos las ventajas e inconvenientes que puede ocasionar la publicación en abierto del enlace que permita hacer una denuncia, teniendo en cuenta los medios de los que dispone cada organización para la gestión de las informaciones.
La publicación en abierto del formulario que permita la comunicación del informante desde su propia página web va a tener un impacto, a nivel de transparencia, muy positivo, en tanto que va a permitir el acceso, con una simple búsqueda en internet; esto es, sin necesidad de acudir a la intranet o a otras vías por parte de aquellas personas que no pertenezcan a la organización.
El principal inconveniente de la publicación en abierto del formulario de contacto del canal de denuncias es el uso incorrecto que se le puede dar a éste. Es decir, que se comuniquen hechos que no estén en el ámbito de aplicación material; que se utilice para canalizar informaciones que deberían de dirigirse a otros buzones, o recepción de spam.
Conclusión
El primer objetivo de la organización debe ser que los diversos posibles informantes conozcan la existencia de estos sistemas de información. Esto exige buscar las mejores vías para informarles de ello: ser transparentes, pero adaptándonos a cada colectivo específico.
Pero también hay que alentar la confianza del informante para que haga uso del canal interno de información evitando el riesgo de que se utilice por su parte canales que no sean los establecidos por la organización, que lo comuniquen a miembros del personal no responsable del tratamiento, hagan uso de canales externos o que, al no ver satisfechas sus pretensiones recurran a la revelación pública de los hechos.
Es por ello, que la exposición del formulario o enlace al canal será un criterio que favorezca la eficacia de la implantación del modelo o sistema interno de información, pero que exigirá gestionar los riesgos que hemos indicado,
En todo caso, resulta indispensable que se determine de forma adecuada los criterios de uso y los principios que han de regir el sistema interno de información, de cuya publicación, cualquier entidad está obligada a establecer.
Desde Govertis-Telefónica Tech, ponemos ayudar a cualquier organización, pública o privada a establecer el Sistema Interno de Información, facilitando incluso, a través de Sandas, una herramienta alineada con las mejores prácticas y estándares, como, por ejemplo, UNE-ISO 37002 así como los requisitos establecidos en la citada Ley 2/2023 y la Directiva.
Foto de apertura: Anh Tuan To / Unsplash
