En cualquier empresa u organización, la transparencia y la integridad son clave. Un canal de denuncias para empresas es la herramienta que permite a empleados, clientes y proveedores reportar irregularidades de forma confidencial y segura. Ya sea una conducta inapropiada, una violación de leyes o cualquier incumplimiento de políticas internas, contar con un sistema de denuncias efectivo ayuda a prevenir problemas y fortalecer la confianza dentro de la organización. 

Antecedentes de los Canales de Denuncias y la directiva Whistleblowing   

Tras la aprobación de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en lo sucesivo, “Ley de Protección al Informante” o “la Ley”) se ha establecido por parte del legislador nacional y europeo una obligación, a los sujetos indicados por esta normativa, de contar con un “Sistema interno de información” (en lo sucesivo, “SSI”), esto es, habilitar un canal de denuncias para empresas por el cual el personal de las organizaciones sometidas pueda informar de la realización de ilícitos, independientemente de su naturaleza, ante un Responsable sin temor a represalias o efectos adversos derivados de dicha revelación. 

Debe recordarse que la aprobación de esta normativa viene motivada por la obligación establecida por el legislador europeo de transponer la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (en lo sucesivo, “Directiva Whistleblowing”). 

Requisitos legales del Canal de Denuncias

Acceso al canal de denuncias para empresas: 

Los informantes pueden serlo tanto personal de la propia organización, como personas externas a la misma (art. 3 de la Ley) y el SII debe ser único, es decir integrar los distintos canales internos de información que pudieran establecerse. Por tanto, el acceso para los informantes no puede limitarse a uno dispuesto en una Intranet, portal del empleado o espacio restringido similar. 

Denuncia anónima: 

El desarrollo debe permitir la formulación de denuncias anónimas, lo que implica que en la recogida de la comunicación no se haga obligatorio para el informante tener que aportar ningún tipo de dato de carácter personal: Nombre, apellidos, puesto o cargo en la empresa, correo electrónico (ya sea este corporativo o personal), número de teléfono o IP, etc.

Características básicas del SII 

De conformidad con lo dispuesto en el art. 5 de la Ley, un canal de denuncias para empresas como mínimo debe:  

  1. Permitir a los denunciantes comunicar información sobre las infracciones previstas en la Ley. 
  1. Estar diseñado, establecido y gestionado de una forma segura, de modo que se garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, y de las actuaciones que se desarrollen en la gestión y tramitación de la misma, así como la protección de datos, impidiendo el acceso de personal no autorizado. 
  1. Permitir la presentación de comunicaciones por escrito o verbalmente, o de ambos modos. Esto puede llevarse a cabo a través de cualquier medio electrónico. Puesto que también se pueden realizar comunicaciones por vía presencial o por correo postal, y el SII debe centralizar cualquier canal interno, deberá habilitarse una funcionalidad para que la organización incorpore los documentos consistentes en el correo postal recibido o las actas, declaraciones, grabaciones o transcripciones de las informaciones verbales. 
  1. Integrar los distintos canales internos de información que pudieran establecerse dentro de la entidad. Esto supone que, si existieran distintas vías de entrada de las comunicaciones, todas ellas deben revertir en un único SII. 

Procedimiento de gestión de informaciones 

 Cualquier desarrollo de un SII debe permitir que el procedimiento para la gestión de informaciones reúna las características que exige el art. 9 de la Ley, a cuyo efecto debe cumplir con los siguientes requisitos: 

  1. Permitir el envío de un acuse de recibo de la comunicación al informante en el plazo de 7 días naturales siguientes a su recepción. Téngase en cuenta que la Ley no excepciona expresamente de esta obligación a las comunicaciones anónimas. 
     
  1. Posibilitar la comunicación con el informante y la solicitud a este de información adicional. Tampoco se excepciona expresamente a las comunicaciones anónimas. 

Adicionalmente, se considera muy recomendable que el desarrollo pueda disponer de un sistema de alertas que ayude a los usuarios a controlar el cumplimiento de los plazos establecidos para las distintas acciones (entrada de una nueva comunicación, acuse de recibo, apertura de investigación, eliminación de datos, etc.). 

SII compartido (grupos de sociedades y sector público) 

La Ley prevé la posibilidad de un único SII para: 

Todo un grupo de sociedades (art. 11), en cuyo caso es admisible el intercambio de información entre los distintos Responsables de cada sociedad sólo si fuera necesario para la adecuada coordinación y el mejor desempeño de sus funciones. 

Distintas administraciones u organismos públicos en los supuestos previstos en el art. 14 de la Ley. 

Por tanto, el desarrollo deberá dar la posibilidad de un único SII para estas situaciones, pero con espacios aislados e independientes por defecto para cada uno de los Responsables, si bien permitiendo el intercambio de información en el caso mencionado en los grupos de sociedades. 

 Roles y permisos 

 Debido a la naturaleza sensible de la información que vaya a ser revelada mediante el uso, por parte del personal o terceros ajenos a la organización, del SII habilitado, la solución ofrecida deberá contar con una funcionalidad prestablecida de control de accesos y de mínimos privilegios, esto es, solo podrán gestionar la información proporcionada por los denunciantes el personal estrictamente necesario y tipificado por la norma. 

Si acudimos al artículo 32 de la Ley de Protección al Informante, solo podrán tener acceso al tratamiento de la información, el personal que se enumera a continuación:  

  • El responsable del sistema y a quien lo gestione directamente.  
  • El responsable de recursos humanos o el órgano competente debidamente designado, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador. En el caso de los empleados públicos, el órgano competente para la tramitación del mismo.  
  • El responsable de los servicios jurídicos de la entidad u organismo, si procediera la adopción de medidas legales en relación con los hechos relatados en la comunicación.  
  • Los encargados del tratamiento que eventualmente se designen.  
  • El delegado de protección de datos. 

La concreta designación del personal competente del Responsable quedará a voluntad de este y a lo que conste en su propio procedimiento de gestión de informaciones. Ahora bien, El Cliente deberá habilitar en, la solución que ofrezca, un “panel” o “página reservada” para que el personal habilitado pueda recibir estas informaciones. Del mismo modo, sería requerido que este personal quedase identificado y constando el rol concreto que asume y que le posibilita a acceder a esta “sección privilegiada” de la solución ofrecida.  

Hay que destacar, en este sentido, que además de los anteriormente mencionados, también podrán tener acceso a la información el personal, ya sea propio o por terceros, que se precise para la aplicación de las pertinentes medidas correctoras, esto es, aquellas medidas disciplinarias que sean de aplicación dentro de la organización o para la tramitación de los procedimientos sancionadores o penales que puedan derivarse de la información enviada. En todo caso serán los clientes de PGPlanning los que deban determinar a quiénes dar acceso al SII, siendo recomendable que a estos efectos el desarrollo cuente con un tipo de rol y/o permisos “Otros” o similar para cualquier supuesto distinto a los indicados en el art. 32 de la Ley. 

Libro-Registro 

De acuerdo a las obligaciones impuestas por la normativa en relación con el almacenamiento de la información facilitada a través de los canales de denuncias de un SII, destacamos lo dispuesto en el artículo 26 de la Ley de Protección al Informante que establece que los sujetos obligados deberán contar con un libro-registro de las informaciones recibidas y de las investigaciones internas.  

La normativa no especifica si tal libro-registro debe considerarse como parte del SII o puede ser un registro independiente, si bien obviamente relacionado. No obstante, se entiende que una de las utilidades de un SaaS para la gestión de un SII debería ser la generación de dicho registro. En tal caso, los datos personales incorporados a dicho registro podrán conservarse por un plazo máximo de 10 años. . 

¿Por qué elegir el Canal de Denuncias de PGPlanning? 

  • Experiencia y fiabilidad: Años de trayectoria en la gestión de herramientas de RRHH. 
  • Soporte integral: Acompañamos el proceso desde la implementación hasta el mantenimiento continuo. 

Si quieres garantizar la transparencia y seguridad en tu empresa, contacta con nosotros y te ayudaremos a implementar un canal de denuncias efectivo y en cumplimiento con la normativa vigente. 

Visita la sección del canal de denuncias de nuestra web PGPlanning y descubre cómo podemos optimizar la gestión de tu organización.