El blanqueo de capitales, la protección de datos o la salud pública son ámbitos que, dentro de una organización y por una mala gestión, pueden suponer actividades delictivas que se deben denunciar. Las personas que trabajan para una organización pública o privada, o están en contacto con ella en el contexto de sus actividades laborales, son a menudo las primeras en tener conocimiento de amenazas o perjuicios. Ante la falta de protección por denunciar, la Comisión Europea ha decidido aprobar la Directiva (UE) 2019/1937 de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Su objetivo principal es luchar contra la inseguridad de un trabajador ante la revelación de la información sobre una determinada infracción. Vamos a desarrollar las obligaciones que marca la normativa para las entidades, el ámbito de aplicación material y las medidas que esta directiva supondrá para estas.
El objetivo principal de esta Directiva es que tanto las organizaciones públicas como privadas establezcan cauces internos apropiados para que los trabajadores puedan presentar denuncias de infracciones y los procedimientos para su tramitación, así como las garantías de protección suficientes ante dichas denuncias, todo ello a través de un canal de denuncia implantado por la propia organización.
Los ámbitos sobre los que se pretende que se denuncien las actividades ilícitas o abusos de derecho son establecidos por el art. 1.a) de la Directiva. Entre ellos encontramos:
- Prevención del blanqueo de capitales y financiación del terrorismo. Las denuncias ayudarían a interceptar las infracciones y las prácticas de las normas relativas al impuesto de sociedades, cuya finalidad es obtener una ventaja fiscal y eludir las obligaciones legales. Aquéllas afectan negativamente al buen funcionamiento del mercado interior europeo.
- Protección de los consumidores. Las denuncias de infracciones que protejan a los consumidores, en un mercado digital tan proclive como es el actual, ayudaría a frenar estafas.
- Protección de los datos personales, intimidad y seguridad de las redes y los sistemas de información. El respeto de la privacidad y la protección de los datos de carácter personal, amparados en la Carta de los Derechos Fundamentales de la Unión Europea en sus artículos 7 y 8, pueden protegerse mediante las denuncias y la contribución de los denunciantes a la revelación de infracciones que puedan perjudicar el interés público. Los denunciantes, también pueden ayudar a revelar infracciones de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo sobre la seguridad de las redes y los sistemas de información.
Como obligaciones, esta Directiva establece como deber el proteger a los empleados, tanto del sector público como privado, que hayan tenido conocimiento de una infracción dentro del marco laboral, entre ellos:
- Los trabajadores por cuenta ajena y propia;
- Los/las accionistas y personas pertenecientes al órgano de administración de una empresa, incluidos los/las miembros no ejecutivos;
- Los Voluntarios y voluntarias;
- trabajadores en prácticas no remunerados y
- cualquier persona que trabaje bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores.
¿Qué organizaciones están obligadas a crear el canal de denuncias?
- La obligación será proporcional al
tamaño de la entidad cuando sea privada:
- Empresa privada con 50 o más empleados.
- Empresa privada con volumen de negocio o balance anual igual o superior a 10 millones de €.
- Empresas que operen en el ámbito de los servicios financieros (aunque sean microempresas o pequeñas empresas).
- Empresas vulnerables al blanqueo de capitales o a la financiación del terrorismo.
- Están excepcionadas de esta obligación las microempresas y las pequeñas empresas que no operen en el ámbito de los servicios financieros.
- Cuando la entidad sea pública se
deberá tener en cuenta el nivel de riesgo que sus actividades suponen para el
interés público. Aun así, estarán obligadas siempre:
- la Administración del Estado;
- la Administración regional y provincial;
- los municipios de más de 10.000 habitantes y
- las entidades de Derecho Público.
¿Qué requisitos deberá cumplir el canal de denuncia?
- Deberá guardar la confidencialidad de la identidad del informante.
- Deberá proporcionar la información indicada sobre el tratamiento de datos personales conforme al art. 13 RGPD.
- Se nombrará personal específico para una tramitación diligente de las denuncias, según el art. 8 de la Directiva.
- Se establecerá un plazo de respuesta no superior a tres meses.
- Deberá informarse, de forma diligente y comprensible, sobre el procedimiento a las autoridades competentes.
Asimismo, la propia Directiva también establece que los Estados Miembros deberán instaurar medidas que prohíban las represalias, de conformidad al art. 14 de la misma, contra los informantes (tales como despidos, sanciones, cambios de puesto de trabajo o de ubicación, denegación de formación o evaluaciones de resultados laborales negativas, entre otras).
Esta directiva está actualmente en vigor, pero para su aplicación efectiva por parte de los Estados miembros destinatarios de la misma, se les da de plazo hasta el 17 de diciembre de 2021 para que la traspongan a sus ordenamientos jurídicos internos a través de disposiciones legales, reglamentarias y administrativas propias.
