El canal de denuncias es obligatorio en empresas de 50 empleados o más. De acuerdo con la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, también conocida como ley del canal de denuncias, las empresas con 50 o más empleados deben cumplir con la obligación del canal de denuncias e implementar esta herramienta, siguiendo las pautas dispuestas por la normativa.

A su vez, la Ley 2/2023 está íntimamente relacionada con las normativas de protección de datos RGPD y LOPDGDD ya que estas son básicas para cumplir con la seguridad de los datos en canales de denuncias. Estas normativas también exigen a las empresas con más de 50 empleados a tener un Delegado de Protección de Datos. Además de las normativas mencionadas, hay otras leyes que obligan a las empresas a tener implementado un canal de denuncias para empresas, como son el Código Penal, que establece el canal de denuncias como disposición del plan de prevención de delitos penales, la Ley de Igualdad dentro de los planes de igualdad, la Ley de Blanqueo de Capitales o la Ley de protección integral de la infancia y la adolescencia para empresas del ámbito deportivo, ocio o educativo que cuenten con la presencia de menores. Asimismo, cualquier empresa que decida adoptar la norma ISO 37301 sobre sistemas de gestión de compliance, también tiene la obligación de implementar un canal de denuncia. A parte de las empresas con 50 o más empleados, existen otras empresas obligadas a tener canal de denuncias: Organizaciones sin ánimo de lucro -Fundaciones -Partidos políticos- Sindicatos – Organizaciones empresariales que gestionen fondos públicos – Entidades públicas de municipios de más de 10.000 habitantes – Universidades.

¿Qué requisitos indispensables debe cumplir un canal de denuncias empresarial?

  • Se designará a un responsable autónomo e imparcial para realizar el seguimiento e investigación de las denuncias.
  • Se emitirá un acuse de recibo de la denuncia en un plazo no superior a 7 días desde su recepción.
  • Solo podrán acceder a las denuncias el personal autorizado.
  • Contar con los medios necesarios para asegurar la autenticidad, identidad y confidencialidad del denunciante, del denunciado y los testigos. Para ello se implementarán las medidas de seguridad adecuadas (no muy diferente a las medidas de seguridad que se deben adoptar en protección de datos).
  • La información deberá poder almacenarse durante el tiempo que sea necesario para realizar nuevas investigaciones.
  • Se podrán hacer denuncias por escrito y verbales.

Según la normativa de protección de datos permite la puesta en marcha de estos sistemas siempre que se respeten una serie de principios básicos. Si queremos poner en marcha un sistema de denuncias en nuestra empresa u organización deberemos prestar atención a los siguientes aspectos básicos relacionados con la privacidad:

1.-Informar a los trabajadores Es primordial que los trabajadores estén informados de la existencia del sistema de denuncias y del tratamiento de los datos que conlleva la formulación de una denuncia. Se puede comunicar directamente en el contrato de trabajo; individual o colectivamente al implementar o modificar el sistema, o mediante circulares informativas al personal y a sus representantes.

2.-Respetar el principio de proporcionalidad y limitación de la finalidad las denuncias deberán hacer referencia únicamente a supuestos en que los hechos o actuaciones tengan una efectiva implicación en la relación entre la empresa y el denunciado y, del mismo modo, la información obtenida por esta vía no podrá usarse con una finalidad distinta a la prevista para la puesta en marcha del sistema.

3.-Protección de los datos del denunciante La ley permite los sistemas de denuncia anónima, pero, en el caso de que esta no lo sea, la información del denunciante debe quedar a salvo y no facilitar su identificación al denunciado. Esto implica implementar medidas reforzadas de seguridad y confidencialidad de la información

4.-Limitación del acceso a la información: El acceso debe limitarse exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento o al encargado del tratamiento designado a tal efecto. Solo será lícito el acceso de otras personas o su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o la tramitación de los procedimientos judiciales que, en su caso, procedan.

5.-Conservación y eliminación de los datos: Los datos deben conversarse solo el tiempo necesario para la investigación de los hechos, a no ser que de aquella se desprenda la adopción de determinadas medidas contra el denunciado, en cuyo supuesto sería posible conservar los datos por un plazo superior. En todo caso, los datos deben suprimirse transcurridos tres meses desde su introducción en el sistema de denuncias.

6.-Derechos de protección de datos: Deberán garantizarse los derechos de acceso, rectificación, supresión y oposición del denunciado, sin que ello implique revelar la identidad del denunciante.  El denunciado debería poder conocer en el menor tiempo posible el hecho que se le imputa a fin de poder defender debidamente sus intereses, por lo que esta información debe facilitársele tras un tiempo prudencial en que se lleve a cabo la investigación preliminar de los hechos. No tener implementado debidamente el canal de denuncias, es decir, garantizando la confidencialidad y el anonimato de los informantes, puede suponer sanciones de hasta 1 millón de euros para los infractores. Cumplir con estos requisitos es esencial para que las empresas puedan operar un canal de denuncias obligatorio que sea considerado seguro y efectivo por la AAI.

Las sanciones por no tener el canal de denuncias o tenerlo sin cumplir con los requisitos de la Ley 2/2023, de protección de informantes de corrupción (artículo 63), pueden imponerse tanto a personas jurídicas como físicas, si estas últimas infringen la ley (por ejemplo, toman alguna represalia en contra del informante) u obstaculizan de alguna manera el adecuado funcionamiento del canal.

Por lo tanto, las sanciones del canal de denuncias pueden imponerse a la empresa u organización y/o a sus miembros, sean estos empleados o directivos, cuando cometan algunas de las infracciones leves, graves o muy graves que detallaremos en los siguientes epígrafes.

Las sanciones a empresas u organizaciones obligadas a tener un canal de denuncias llevan asociadas multas monetarias, en función de si se trata de una persona física o jurídica. Personas físicas: Multas de 1.001 hasta 10.000 euros por infracciones leves, de 10.001 hasta 30.000 euros por infracciones graves y de 30.001 hasta 300.000 euros por infracciones muy graves.

Personas jurídicas: Multas de hasta 100.000 euros por infracciones leves, entre 100.001 y 600.000 euros por infracciones graves y entre 600.001 y 1.000.000 de euros por infracciones muy graves.