La aprobación de la Ley 2/2023, de 20 de febrero, reguladora de protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, (en adelante la “Ley 2/2023”), obliga tanto al sector público como al sector privado a contar con canales internos de información diseñados e implantados para proteger a las personas que en un contexto laboral o profesional detecten potenciales infracciones. Concretamente, tal como se expresa en el art. 13 de la Ley 2/2023 todas las entidades que integran el sector público estarán obligadas a disponer de un Sistema interno de información incluyéndose entre las mismas, las fundaciones del sector público, tal como se expresa en su aptdo.1 letra f).
LA ENTIDAD, por medio de esta Política, se compromete a adoptar las medidas necesarias para impedir cualquier tipo de represalia, incluidas las amenazas de represalia y las tentativas de represalia contra las personas que presenten una comunicación, como medio para salvaguardar y proteger a las personas que comunican de buena fe información sobre actos u omisiones que contravengan la mencionada ley, el Código de Ética y Conducta de LA ENTIDAD o a la normativa interna y procedimientos de esta institución.
El objetivo de esta Política es establecer los Principios que rigen la actuación de LA ENTIDAD en la implantación del Sistema Interno de Información y protección del informante, de acuerdo con lo recogido en la Ley 2/2023.
1. Garantizamos la accesibilidad al Sistema Interno de Información y protección del informante: el Sistema
Interno de información debe permitir comunicar, ya sea por escrito, verbalmente o presencialmente, la
información sobre infracciones normativas y de lucha contra la corrupción a todas las personas incluidas en su
ámbito de aplicación.
2. Garantizamos, mediante la actuación independiente del/de la Responsable del Sistema, la exhaustividad,
integridad y confidencialidad de la información, la prohibición del acceso no autorizado, el almacenamiento
duradero de la información y el respeto a la buena fe. El Sistema Interno de información será gestionado por
el/la responsable con total independencia y autonomía respecto del resto de áreas de LA ENTIDAD.
3. Garantizamos la confidencialidad de la identidad de la persona informante y de cualquier persona mencionada
en la comunicación, así como de las actuaciones que se desarrollen en la gestión y tramitación de la misma. El
canal interno de información permitirá incluso la presentación y posterior tramitación de comunicaciones
anónimas.
4. Garantizamos la protección de los datos personales de las personas afectadas, en cumplimiento de la legalidad
vigente en esta materia.
5. Garantizamos el secreto de las comunicaciones.
6. Garantizamos la seguridad y protección de las personas informantes y afectadas.
7. Garantizamos la presunción de inocencia y respeto al honor de las personas
afectadas.
a) La presente Política resulta de aplicación a todos los miembros de LA ENTIDAD que informen, a través de los procedimientos en ella previstos, de:
Se consideran miembros de LA ENTIDAD los que en cada momento sean empleados y colaboradores de la entidad.
b) Esta Política resulta también aplicable a los informantes que, no siendo miembros de LA ENTIDAD, hayan obtenido información sobre alguna de las acciones u omisiones referidas en el apartado anterior en un contexto laboral o profesional, comprendiendo en todo caso a:
El Sistema Interno de Información a que se refiere la presente Política es el cauce preferente para informar sobre las acciones u omisiones previstas en Ley 2/2023.
El Sistema Interno de Información se compone, principalmente, del canal de comunicación habilitado para la recepción de las comunicaciones previstas en el ámbito de aplicación de esta Política, del Responsable del Sistema y del procedimiento de gestión que deberá seguirse para la tramitación de las referidas comunicaciones.
En el Sistema Interno de Información se integra por el Canal Denuncia, que es el cauce preferente para la comunicación de las conductas previstas en el apartado 3 de esta Política.
El mencionado Canal Interno de Información permite:
a) Realizar comunicaciones por escrito o verbalmente, o de las dos formas, en las condiciones previstas en la
Ley 2/2023.
b) Al hacer la comunicación, el informante podrá indicar un domicilio, correo electrónico o lugar seguro a
efectos de recibir las notificaciones.
c) La presentación y posterior tramitación de comunicaciones anónimas.
d) Informar a quienes realicen la comunicación a través del mismo, de forma clara y accesible, sobre los canales
externos de información ante las autoridades e instituciones competentes.
e) La recepción de cualesquiera otras comunicaciones o informaciones no comprendidas en el ámbito establecido en
el apartado 3 de esta Política, si bien dichas comunicaciones y sus remitentes quedarán fuera del ámbito de
aplicación y protección dispensado por la misma.
f) Se adoptarán las medidas oportunas para garantizar la confidencialidad de las comunicaciones que sean
enviadas por canales que no son los establecidos o a miembros del personal no responsable de su tratamiento
(quienes deberán remitirla inmediatamente al Responsable del SII).
1. Las personas Responsables del Sistema será un órgano colegiado o persona, de forma interna o externa, con las
características previstas en el artículo 8 de la Ley 2/2023.
2. Se comunicará a la Autoridad Independiente de Protección del Informante, de conformidad con lo previsto en el
artículo 8.3 de la Ley 2/2023, los nombramientos de los miembros del órgano colegiado Responsable del Sistema,
en el plazo de diez días desde su designación. También se notificarán eventualmente, en el mismo plazo, sus
ceses, dimisiones y las razones que los justifican.
3. En el ejercicio de sus funciones, las personas Responsables del Sistema no recibirán instrucciones de ningún
superior, no estarán sometidos a jerarquía dentro del órgano colegiado, ni pueden ser removidos de sus puestos
por cuestiones relacionadas con su legítima participación en el Sistema interno de información.
Los tratamientos de datos personales que deriven de la aplicación de la Ley 2/2023 se regirán por lo dispuesto en el RGPD, y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD), en cumplimiento de lo que, a tales efectos, se determina en la Ley 2/2023.
El Sistema interno de Información debe impedir el acceso no autorizado, preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas y a cualquier tercero que se mencione en la información suministrada, con especial atención a la identidad del informante en caso de que se hubiera identificado.
La identidad del informante solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora, y estos casos estarán sujetos a las salvaguardas establecidas en la normativa aplicable.
Si la información recibida contuviera categorías especiales de datos personales, sujetos a protección especial, se procederá a su inmediata supresión, salvo que el tratamiento sea necesario por razones de un interés público esencial conforme a lo previsto en el artículo 9.2.g) del RGPD, según dispone el artículo 30.5 de la Ley 2/2023.
En todo caso, no se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una información específica o, si se recopilan por accidente, se eliminarán sin dilación indebida.
Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPDPGDD.
Las personas que comuniquen infracciones tendrán derecho a las medidas de protección establecidas en la Ley 2/2023, siempre que concurran las circunstancias siguientes:
a) Tengan motivos razonables para pensar que la información referida es veraz en el momento de la comunicación o revelación, aun cuando no aporten pruebas concluyentes, y que la citada información entra dentro del ámbito de aplicación de esta política.
b) La comunicación o revelación se haya realizado conforme a los requerimientos previstos en esta política y en la Ley 2/2023.
Quedan expresamente excluidos de la protección prevista en la Ley 2/2023 aquellas personas que comuniquen o revelen:
Durante la tramitación del expediente las personas afectadas por la comunicación tendrán derecho a la presunción de inocencia, al derecho de defensa y al derecho de acceso al expediente en los términos previstos en la Ley 2/2023, así como a la misma protección establecida para los informantes, preservándose su identidad y garantizándose la confidencialidad de los hechos y datos del procedimiento.
La presente Política será efectiva desde el momento de su aprobación por parte de la Dirección de LA ENTIDAD, procediendo a su publicación en las páginas web corporativas de la entidad.
La presente Política será revisada y actualizada siempre que resulte necesario practicar cualesquiera modificaciones.
La presente El procedimiento de gestión del Sistema Interno de Información tiene por objeto la regulación de aquellos actos y trámites que se lleven a cabo por LA ENTIDAD como consecuencia de la presentación de informaciones a las que se refiere la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante, Ley 2/2023).
La presente Esta normativa es de aplicación a todo el ámbito de actuación de LA ENTIDAD y sus contenidos derivan de las directrices de carácter más general definidas en la Política de Seguridad de la Información de la entidad.
La presente Será de obligado cumplimiento por parte de todo el personal que, de manera permanente o eventual, preste sus servicios en LA ENTIDAD, incluyendo el personal de proveedores externos cuando sean usuarios de los Sistemas de Información de LA ENTIDAD.
La presente A los efectos de la presente regulación se entenderá por:
La presente A las personas informantes se les garantizará el efectivo ejercicio de los siguientes derechos, sin perjuicio de cualesquiera otros que les reconozca la Constitución y las leyes:
La presente Las personas informantes, por lo que respecta a la presentación de sus comunicaciones a través del Canal interno de información, estarán sujetas a las siguientes obligaciones:
La presente A las personas consideradas como terceros en el procedimiento se les reconocerán los siguientes derechos, sin perjuicio de la posibilidad de extender a éstos, en la medida de lo posible, las medidas de apoyo y protección del informante previstas en la Ley 2/2023.
La presente Las personas afectadas tendrán los derechos reconocidos por la Constitución y las leyes, por cuyo cumplimiento tendrá la obligación de velar el Responsable del Sistema. En especial, tendrán los siguientes derechos:
La presente El acceso a los datos personales en el Sistema Interno de Información por parte del personal de LA ENTIDAD quedará limitado, dentro del ámbito de sus competencias y funciones y con independencia de las responsabilidades profesionales de las personas que finalmente formen parte del órgano colegiado Responsable del Sistema a:
La presente Será lícito el tratamiento de los datos por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.
Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
La presente La información sobre la comisión de infracciones a las que se refiere el artículo 2.1 de la Ley 2/2023, así como cualquier otra derivada de la tramitación del presente procedimiento se comunicará por escrito o verbalmente a través del medio electrónico establecido al efecto en el canal interno de información habilitado en la página web de LA ENTIDAD.
La presente A solicitud del informante, también podrá presentarse mediante una reunión presencial dentro del plazo máximo de siete días.
La presente Las comunicaciones verbales, incluidas las realizadas a través de reunión presencial, telefónicamente o mediante sistema de mensajería de voz, deberán documentarse de alguna de las maneras siguientes, previo consentimiento del informante:
La presente Sin perjuicio de los derechos que le corresponden, de acuerdo con la normativa sobre protección de datos personales, se ofrecerá al informante la oportunidad de comprobar, rectificar y aceptar mediante su firma la transcripción de la conversación.
La presente En todo caso, la comunicación deberá contener al menos la siguiente información:
La persona informante podrá indicar un domicilio, correo electrónico, o lugar seguro a efectos de recibir las comunicaciones.
Recibida la comunicación, en un plazo de siete días naturales siguientes a su recepción, se procederá a acusar recibo y a comunicar la justificación al informante, salvo que no se haya aportado ninguna vía de contacto o ejerza el derecho de renunciar a comunicarse con el Responsable del Sistema o el gestor delegado que instruya el procedimiento.
Registrada la comunicación, el/la Responsable del Sistema deberá comprobar si aquella expone hechos o conductas que se encuentran dentro del ámbito subjetivo de aplicación previsto en el artículo 3 de la Ley 2/2023 y, en un plazo de diez días hábiles desde la fecha de entrada de la información en el registro podrá:
a) Inadmitir la comunicación, en alguno de los siguientes casos:
b) Admitir a trámite la comunicación. La admisión a trámite se comunicará al informante dentro de los cinco días hábiles siguientes, salvo que la comunicación fuera anónima o el informante hubiera renunciado a recibir comunicaciones.
c) Remitir con carácter inmediato la información al Ministerio Fiscal cuando los hechos pudieran ser indiciariamente constitutivos de delito o a la Fiscalía Europea en el caso de que los hechos afecten a los intereses financieros de la Unión Europea.
d) Remitir la comunicación a la autoridad, entidad u organismo que se considere competente para su tramitación.
La instrucción comprenderá todas aquellas actuaciones encaminadas a comprobar la verosimilitud de los hechos relatados.
El/la gestor/a delegado/a que designe el Responsable del Sistema se considerará instructor del procedimiento.
En el plazo máximo de 15 días desde la resolución de admisión, se dará conocimiento a la persona afectada de la existencia de las actuaciones y de los hechos relatados de manera sucinta, salvo que dicha comunicación pueda facilitar la ocultación, destrucción y alteración de pruebas, en cuyo caso, el gestor delegado, de forma motivada, podrá modificar dicho plazo hasta que desaparezcan dichas circunstancias. En ningún caso se comunicará a los sujetos afectados la identidad de la persona informante ni se dará acceso a la comunicación.
A fin de garantizar el derecho de defensa de la persona afectada, la misma tendrá acceso al expediente sin revelar información que pudiera identificar a la persona informante, pudiendo ser oída en cualquier momento, y se le advertirá de la posibilidad de comparecer asistida de abogado.
La persona afectada tiene el deber de mantener la confidencialidad de la información a la que tenga conocimiento como consecuencia del acceso al expediente, quedando prohibida cualquier actuación tendente a identificar al informante o terceros, sin perjuicio de las obligaciones que se derivan del cumplimiento de la normativa sobre protección de datos personales.
Concluidas las actuaciones, el Responsable del Sistema emitirá un informe que se trasladará al/a la directora/a Gerente de LA ENTIDAD y que contendrá al menos:
Así mismo el informe se notificará al/a la informante, en la medida en que esté identificado/a y no haya hecho uso del derecho de renuncia a comunicarse con el Responsable del Sistema y a la persona afectada.
El plazo para finalizar las actuaciones y dar respuesta al informante, en su caso, no podrá ser superior a tres meses desde la entrada en registro del sistema de gestión de la información, sin perjuicio de la ampliación del plazo prevista en el artículo 9 de la Ley 2/2023.