Canal de información interno

PROTOCOLO DE IMPLEMENTACIÓN DEL SISTEMA DE INFORMACIÓN INTERNA (S.I.I.) DE VENTAJA EUROPA, S.A., BUENOGAR, S.A. Y MEDIANIS, S.L. CONFORME AL CONTENIDO DE LA LEY 2/2023, DE 20 DE FEBRERO

INDICE

• INTRODUCCIÓN
• RÉGIMEN NORMATIVO
• REQUISITOS DE IMPLEMENTACIÓN:

• Ámbito de aplicación personal
• Ámbito de aplicación material
• Ámbito temporal.
• Ámbito objetivo.
• Ámbito procedimental.
• Ámbito de difusión e información.
• Ámbito de responsabilidad.
• Ámbito delimitador de los Derechos y obligaciones del informante.

• DERECHOS DEL INFORMANTE
• PROTOCOLO DE “NO REPRESALIAS”
• DERECHOS DE LA PERSONA AFECTADA
• CONFLICTO DE INTERESES
• PROCEDIMIENTO    DE    GESTIÓN    Y    TRAMITACIÓN    DE INFORMACIONES
• DESIGNACIÓN DE LA FIGURA DEL RESPONSABLE DEL S.I.I.
• OBLIGACIONES DEL ÓRGANO DE ADMINISTRACIÓN
• ACUERDOS    A    ADOPTAR    POR    PARTE    DEL    ÓRGANO    DE ADMINISTRACIÓN

1.    INTRODUCCIÓN

Los sistemas internos de información o sistemas de información interna (en adelante, S,I.I.) bajo la denominación “canales de denuncia”, se regularon por primera vez mediante la Directiva (UE) 2019/1937, de 23 de octubre de 2019 (en adelante, la Directiva), la cual ya establecía su obligatoriedad para las personas jurídicas con doscientos cincuenta o más trabajadores; obligación esta que se traspone a nuestro ordenamiento jurídico con la aprobación de la Ley 2/2023, de 20 de febrero (en adelante, la Ley 2/2023) que acoge el sentido y contenido de la Directiva prácticamente en su integridad, perfilando y adaptando sus disposiciones a las particularidades jurídicas nacionales.

Se trata de una herramienta legal que persigue incentivar y facilitar la presentación de comunicaciones o informaciones, comunicaciones e informaciones, -incluyendo anónimas, evitando que existan represalias para quienes las lleven a cabo y favorecer la detección y prevención de ilícitos e infracciones en el ámbito de actuación de las personas jurídicas, extendiendo su protección no solo hacia los trabajadores en su estricto significado sino hacia cualquier persona que haya tenido conocimiento de la información por cualquier vínculo laboral, prestación de servicios profesionales o vínculo precontractual.

A lo largo del presente Protocolo se examinarán los objetivos y fines perseguidos por la Ley, articulando un sistema de información interna (S.I.I.)  definiendo el procedimiento a seguir para la recepción, gestión y resolución de las informaciones presentadas, todo ello en el marco del estricto cumplimiento de las obligaciones previstas en las leyes que resultan de aplicación.

Objeto del Sistema de información Interna (S.I.I.)

El objeto del presente protocolo es, precisamente, dar cumplimiento a las disposiciones contenidas en la Ley 2/2023, mediante la implementación de un sistema de información interna y establecimiento de un protocolo que regule un sistema de gestión, recepción, tramitación y resolución de informaciones que pudieran constituir infracciones del Derecho de la Unión Europea o infracciones graves o muy graves, ya sea de orden penal o administrativo, previstas en el ordenamiento jurídico español; extremo que supone la expresión fáctica definitiva de una estrategia de naturaleza comunitaria nacida a raíz de la Directiva 2019/1937 con el fin de perseguir la detección y prevención-y, en su caso, penalización- de infracciones administrativas e ilícitos penales cometidos en el seno de las personas jurídicas y Administraciones Públicas.

Este S.I.I., sin perjuicio de las consideraciones previstas en las disposiciones normativas sobre las que se irá haciendo concreta referencia, tiene como finalidad última la consecución de los siguientes objetivos:

Poner a disposición de esta entidad una fuente de información de primera mano, lo que servirá como instrumento de prevención, detección precoz y, en su caso, corrección de las infracciones o ilícitos cometidos.

Proteger a las personas que en el contexto de actividad propia de la entidad detecten infracciones penales o administrativas graves o muy graves y las comuniquen mediante el propio S.I.I.

La búsqueda y consecución de un importante elemento preventivo a través de existencia de cauces e incentivos para que cualquier persona que conozca la infracción o ilícito pueda comunicarlo de forma confidencial, resultando un programa de prevención de riesgos penales que se fortalece con la opción de informar o comunicar anónimamente por un conducto reglado.

Complemento eficiente y eficaz para la política de compliance, siendo que, si bien el ámbito de aplicación del S.I.I. tiene virtualidad más allá de los ilícitos penales incluyendo también las infracciones administrativas, supone un medio de información para la recepción de evidencias más claras de la eficacia (o ineficacia) de los controles existentes y la adecuación a la realidad del análisis de riesgos realizado.

Se establece la confidencialidad y la prohibición de represalias, permitiendo la información o comunicación anónima, como pilares fundamentales para la consecución del fin perseguido por la Ley y se modifica el término “canal de denuncias”, por “sistema de información interna” -sin perjuicio de que en el presente protocolo se usen ambos conceptos de forma indistinta-, pretendiendo establecer un sistema ágil de la detección del fraude ad intra.

Una vez comprobada la existencia de indicios suficientes que pudieran constituir una infracción o de ilícito penal en los términos exigidos por la Ley, exige la colaboración con la investigación judicial o con la autoridad competente para su determinación y sanción, en virtud de la aportación de datos que se han incluido en la información y que pudieron ser comprobados a tenor de la comunicación.

El sistema de información interna posibilita además la interacción con el informante, buscando fórmulas para los casos en que este haya decidido preservar su anonimato, diseñando mecanismos de comunicación seguros tanto para el seguimiento del estado de la investigación y, en caso de ser pertinentes, la aportación de nuevos datos o pruebas adicionales, o una ampliación de los hechos inicialmente informados o comunicados.

El sistema de gestión, en los términos que aquí se analizarán para su ulterior implementación, ya estaba previsto -si bien no de forma impositiva- en la Ley Orgánica 3/2018 de  5 diciembre de Protección de Datos Personales (artículo 24): “Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable”.

Como características principales de la nueva regulación, alcance y requisitos del sistema de información interna (S.I.I.) se podrían destacar -sin perjuicio del puntual desarrollo que se ponga de manifiesto con respecto de cada uno de ellos- los siguientes:

Obligación a las personas jurídicas de más de cincuenta trabajadores a contar con un “sistema de gestión de las informaciones” (S.I.I.).

Proporcionar a los informantes un cauce preferente para comunicar las acciones u omisiones que constituyan alguna de las infracciones o ilícitos, incluso de forma anónima a elección del informante.

Evitar represalias y proporcionar, en su caso, las medidas de apoyo necesarias,

Cumplimiento de la normativa sobre protección de datos.

Preservar, en la medida de lo posible, la identidad del informante y de las personas afectadas.

Los S.I.I.s aumentan significativamente la eficacia de los programas de cumplimiento normativo, erigiéndose como instrumento de auto control, tanto desde el punto de vista ad intra para evitar el fraude interno, como del ad extra para evitar la responsabilidad penal o administrativa a las personas jurídicas.

En definitiva, viene a completar, complementar y mejorar los mecanismos ya establecidos por esta entidad en virtud del Plan de Prevención de Riesgos Penales. Además, se entiende sin perjuicio y al margen de los diversos medios que la propia ley 2/2023 establece adicionalmente, como el canal externo de información o la revelación pública. No obstante, y en línea con la previsión establecida tanto en la Exposición de Motivos, como en el artículo 4 de la Ley 2/2023, este canal interno de información nace con vocación de preferencia, no perceptiva, pero entendiendo que proporciona efectos favorables al informante, a la persona afectad y a la propia empresa.

Directiva UE 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.

La obligación de las personas jurídicas de contar con canales de denuncia surgió en fecha 16 de abril de 2019 con la aprobación por parte del Parlamento Europeo de la llamada Directiva “Whistleblowing”.

Esta Directiva, instrumento legal que, precisamente, se traspone con la Ley 2/2023 a nuestro ordenamiento jurídico, regula aspectos mínimos que han de satisfacer los distintos cauces de información a través de los cuales una persona física que sea conocedora en un contexto laboral de una infracción del Derecho de la Unión Europea, pueda dar a conocer la existencia de la misma.

En lo concerniente a lo que a estas entidades (VE, BO y MEDIANIS) ocupa, la Directiva obliga a contar un canal interno de información, con la finalidad de que la información sobre prácticas irregulares pueda conocerse por la propia organización para corregirlas o reparar lo antes posible los daños; ello como expresión de la evolución de la política legislativa, fruto de los modelos comparados a nivel internacional y europeo, reguladora de las informaciones anónimas y de la protección a la persona que las comunica.

Sin perjuicio de las particularidades que de forma más concreta y singular se regulan en la Ley 2/2023, se contemplan como denunciables infracciones relacionadas con la contratación pública; los servicios, productos financieros y blanqueo de capitales; la seguridad en los productos y en el transporte; la protección del medio ambiente, la salud y los consumidores; la protección de la intimidad; etc.

Para la efectiva implementación de los S.I.I., la Directiva prevé que estos sean negociados con la representación legal de los trabajadores y señala de manera específica el alcance y contenido de los procedimientos y tramitación de las informaciones o comunicaciones. A saber:

1    Los canales de whistleblowing deben permitir la posibilidad de formular comunicaciones o informaciones tanto por escrito como verbalmente, así como por vía telefónica u otros sistemas de mensajería de voz y, también de manera presencial si así lo solicita el informante (para todo ello, el informante debe acceder al enlace www.i-------------/canalinternodeinformacion)

2.- Obligación de acusar recibo de la comunicación o información en un plazo máximo de 7 días;

3.-Designación de una persona o servicio imparcial, que sea competente para tramitar las comunicaciones o informaciones, que podrá ser la misma persona o servicio que recibe las comunicaciones o informaciones y que mantendrá la comunicación con el informante y, en caso necesario, se encargará de solicitarle información adicional y de darle respuesta;

4.-Tramitación diligente de todas las comunicaciones o informaciones incluidas las anónimas;

5.-Plazo máximo de 3 meses para dar respuesta al informante sobre la tramitación de la comunicación o información, a contar desde el acuse de recibo o, si no hubo acuse de recibo, desde el vencimiento del plazo de siete días desde la presentación de la información o comunicación..

De esta forma se establece que los S.I.I.s deben permitir que las personas informen o comuniquen bien por escrito, bien verbalmente, o de ambos modos; permitiendo a entidades jurídicas del sector privado recibir e investigar con total confidencialidad comunicaciones o informaciones de los trabajadores de la entidad -incluyendo menciones genéricas al personal directivo, consejeros y accionistas-, pero también, en la medida de lo posible, de cualquiera de los agentes y proveedores y de cualquier persona que acceda a la información a través de sus actividades laborales relacionadas con la entidad.

La Directiva se justifica en la constatación de que los informantes “son el cauce más importante para descubrir delitos de fraude cometidos en el seno de organizaciones; y la principal razón por la que personas que tienen conocimiento de prácticas delictivas en su empresa, o entidad pública, no proceden a denunciar, es fundamentalmente porque no se sienten suficientemente protegidos contra posibles represalias provenientes del ente cuyas infracciones denuncia”. Ello no es óbice para que también se deban establecer mecanismos reactivos ante informaciones fundadas en la falsedad o informaciones falsas.

En definitiva, se busca reforzar la protección del informante y el ejercicio de su derecho a la libertad de expresión e información reconocida en el art. 10 CEDH y 11 de la Carta de los Derechos Fundamentales de la UE, y con ello incrementar su actuación en el descubrimiento de prácticas ilícitas o delictivas.

En caso de no ser suficiente la denuncia interna, la Directiva contempla la posibilidad de una denuncia externa y, como último recurso, la revelación pública. Quedando también regulados los sistemas de protección para los informantes externos ante todo tipo de represalias.

Ley 2/2023, de 20 de febrero reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

El presente S.I.I. se diseña al amparo y con pleno seguimiento de las exigencias establecidas en la Ley 2/2023, singularmente teniendo en consideración las previsiones establecidas en los artículos 10 (entidades obligadas en el sector privado), 2 (ámbito material de aplicación), 3 (ámbito personal de aplicación) y la Disposición Transitoria Segunda (Plazo máximo para el establecimiento de Sistemas internos de información y adaptación de los ya existentes).

En todo caso debe indicarse que la implantación del canal interno de información no puede desconocer las exigencias igualmente establecidas por la Ley en relación con aspectos que pueden no incidir directamente en el S.I.I. pero que si se corresponden con derechos el informante, así como correlativas obligaciones de la empresa o persona afectada que, igualmente, habrá de publicitarse a los efectos del general y efectivo conocimiento por parte de quienes pueden hacer uso del señalado S.I.I.

La finalidad de la Ley, siguiendo el espíritu de la Directiva, no es otra que proteger a las personas que informen sobre determinados hechos o conductas que puedan suponer infracciones o ilícitos penales del ordenamiento jurídico (en los términos que se describirán en el ámbito material), protección que a su vez se proclama como elemento fundamental para detección y prevención de las propias conductas. En virtud de ello, los informantes sin la protección concedida por la Ley, en muchos casos, no comunica las informaciones bajo el temor de ser objeto de represalia y, a su vez, la conducta que estos pretendían denunciar no sería detectada.

Por lo tanto, la norma persigue proteger a las personas que en un contexto laboral o profesional detecten infracciones penales o administrativas graves o muy graves y las comuniquen mediante los mecanismos regulados en la misma, ampliando para ello el ámbito material de la Directiva a las infracciones del ordenamiento nacional, pero limitado a las penales y a las administrativas graves o muy graves para permitir que tanto los canales internos de información como los externos puedan concentrar su actividad investigadora en las vulneraciones que se considera que afectan con mayor impacto al conjunto de la sociedad.

Esta protección se extiende propugnando la retroactividad de las medidas protectoras frente a represalias a las comunicaciones que hayan tenido lugar desde el 16 de diciembre de 2019 (fecha de entrada en vigor de la Directiva Whistleblowing).

Esta protección está definida en la propia Exposición de Motivos de la Ley configurándose como el eje central sobre el que gira toda la regulación establecida en la Ley, así como la necesidad de dotar de seguridad a las personas que informen, seguridad sin la cual el informante no procedería, en muchos casos, a comunicar los hechos o conductas las cuales se pretenden prevenir. Cabe transcribir: “La buena fe, la conciencia honesta de que se han producido o pueden producirse hechos graves perjudiciales constituye un requisito indispensable para la protección del informante. Esa buena fe es la expresión de su comportamiento cívico y se contrapone a otras actuaciones que, por el contrario, resulta indispensable excluir de la protección, tales como la remisión de informaciones falsas o tergiversadas, así como aquellas que se han obtenido de manera ilícita”.

La configuración del S.I.I. debe reunir determinados requisitos, entre otros, su uso asequible, las garantías de confidencialidad, las prácticas correctas de seguimiento, investigación y protección del informante, requisitos sobre los cuales se hará concreta referencia en los apartados en los que se desarrollen o puedan tener singular incidencia.

Con una finalidad meramente ilustrativa cabe señalar que la Ley examinada se articula en torno a 68 artículos, agrupados en 9 Títulos y 3 Capítulos; 6 disposiciones adicionales, 3 disposiciones transitorias y 12 disposiciones finales.

En el ámbito privado, siguiendo la previsión de la Directiva, estarán obligadas a configurar un S.I.I. todas aquellas empresas que tengan más de cincuenta trabajadores (con la particularidad de que las entidades con más de doscientos cincuenta empleados deben implementarlo en su totalidad con anterioridad al 13 de junio de 2023) bajo pena de ser objeto del régimen sancionador previsto en la Ley.

Además, la Ley no limita los canales de información al que es objeto de esta regulación (interno), sino que lo complementa con mecanismos alternativos como son la revelación pública o los sistemas externos. Este canal externo, cuya llevanza asigna a la Autoridad Independiente de Protección del Informante (A.A.I), no resulta incompatible con el canal interno implementado por estas entidades (VENTAJA EUROPA. S.A., BUENOGAR, S.L., MEDIANIS, S.L.), ya que éste, aunque se conforma como preferente, ello no supone que sea excluyente del canal externo, de tal modo que pueden compatibilizarse e, inclusive, acudir única y exclusivamente al señalado canal externo.

El objeto y naturaleza del S.I.I., siguiendo el espíritu de la Directiva, persigue atajar con rapidez cualquier indicio de infracción penal o administrativa grave o muy grave contra el interés general, buscando la erradicación y/o prevención de cualquier fraude, adelantándose de forma exponencial el conocimiento de que alguien está cometiendo irregularidades y tiene la ventaja de que se puede cortar de forma más rápida, evitando mayores perjuicios que existirían de una detección tardía.

La implantación del S.I.I. requiere como presupuesto previo la consulta con los representantes de los trabajadores, informándoles tanto del procedimiento de recepción, gestión y resolución de las informaciones recibidas, como de todas las garantías del anonimato y confidencialidad del informante.

Igualmente, se establece como pilar básico de la Ley la conformación de una autoridad independiente para la protección del informante a la que se le atribuyen significativas competencias de cara a velar , tutelar y aplicar las previsiones de la Ley, autoridad que, no obstante, no ha sido constituida a la fecha presente y tampoco se ha procedido a la regulación de la situación transitoria hasta la efectiva constitución de la señalada autoridad, aspecto éste que genera un vacío e inseguridad jurídica en especial de cara a dar cumplimiento a determinadas obligaciones como puede ser la de la comunicación a dicha autoridad de las personas responsables, extremo que se procederá a analizar y resolver en el apartado relativo a la “Designación del Responsable”.

2. RÉGIMEN NORMATIVO

El régimen normativo al que se somete la configuración del presente Protocolo se circunscribe con carácter principal a los siguientes instrumentos, ello sin perjuicio de cualesquiera otros cuya afección incidental y puntual pudiera referirse1:

• Directiva (UE) 2019/1937 de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión
• Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la
• financiación del terrorismo.
• Ley Orgánica 5/2010 de reforma del Código Penal.
• Circular de la Fiscalía 1/2016.
• Real Decreto-ley 11/2018, de 31 de agosto, modificó la Ley 10/2010, de 28 de abril, de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo.
• Norma ISO 19600-2014.
• Norma UNE 19601.

Las disposiciones normativas referenciadas lo son en la medida que afrontan o regulan cuestiones relacionadas con el contenido del presente Protocolo, ello aunque lo sea de forma sectorial, sirviendo como criterios orientadores en la configuración del S.I.i.

3. REQUISITOS DE IMPLEMENTACIÓN

A los efectos de definir el ámbito subjetivo, objetivo y temporal, así como los diferentes requisitos de implementación establecidos en la normativa de referencia, procederemos a sistematizar cada uno de ellos en sus correspondientes subapartados, sin perjuicio de que alguno sea objeto de ulterior y más concreto desarrollo por su singular relevancia. De esta forma, los requisitos exigidos para el establecimiento del canal interno se configuran en los siguientes:

• Ámbito subjetivo (I), INFORMANTES, personas que puedan utilizar el canal.
• Ámbito objetivo (II), personas físicas o jurídicas afectadas.
• Ámbito temporal.
• Ámbito objetivo.
• Ámbito procedimental.
• Ámbito de difusión e información.
• Ámbito de responsabilidad.
• Ámbito delimitador de los Derechos y obligaciones del informante.

Cada uno de los aspectos mencionados se analizarán desde una óptica teórica propia del contenido de la legislación aplicable, siguiendo por la concreta definición y configuración que se implementará a razón del presente Protocolo.

ÁMBITO DE APLICACIÓN PERSONAL (I): INFORMANTES.

La protección en los términos y condiciones que se expondrán en el apartado (“Prohibición de represalias”) se predica, desde un punto de vista subjetivo y tomando como referencia lo expuesto en el artículo 3 de la Ley, siempre y cuando el sujeto informante esté comprendido en alguna de estas categorías:

• Personas que trabajen para esta entidad y hayan obtenido la información que comunican o informan en un contexto laboral o profesional.
• Los trabajadores por cuenta ajena.
• Los autónomos que presten servicios para esta entidad;
• Los accionistas, partícipes y personas pertenecientes al órgano de administración, dirección o supervisión de la entidad.
• Cualquier persona que trabaje para o bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores de la entidad.
• Personal laboral o estatutario con vinculación ya finalizada, voluntarios, becarios, trabajadores en periodos de formación y personas cuya relación laboral con esta entidad todavía no haya comenzado, siempre que la información comunicada se haya obtenido durante el proceso de selección o de negociación precontractual.

Además de ello, el ámbito de protección se extenderá a los siguientes sujetos vinculados con el informante:

• Representantes legales en el ejercicio de sus funciones.
• Personas físicas que asistan al informante.
• Personas físicas especialmente relacionadas con el informante.
• Personas jurídicas, para las que trabaje o con las que mantenga cualquier otro tipo de relación el informante.

El presente S.I.I. se articulará de acuerdo a los medios técnicos adecuados para preservar y garantizar los derechos que la Ley les confiere a los informantes (véase apartado “Derechos del informante”), estableciendo de igual manera un protocolo de prohibición de represalias que dote de protección a los sujetos enumerados en el presente subapartado por las acciones u omisiones que, dentro del ámbito de aplicación objetivo de este canal, hayan sido comunicadas.

ÁMBITO    DE    APLICACIÓN    PERSONAL    (II):    ENTIDADES OBLIGADAS.

Las personas físicas y jurídicas obligadas a contar con un S.I.I. en los términos definidos en la Ley 2/2023, se encuentran recogidas en el artículo 10 de la misma, siendo:

• Las personas físicas o jurídicas del sector privado que tengan contratados cincuenta o más trabajadores.
• Las personas jurídicas del sector privado que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente a que se refieren las partes I.B y II del anexo de la Directiva (UE) 2019/1937.
• Los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos.

Estas compañías (VENTAJA EUROPA, S.A.), contando en la actualidad con una plantilla que en número de trabajadores supera el umbral establecido en el artículo 10 de la Ley2, más de cincuenta trabajadores, se ve obligada a la implementación del presente Protocolo configurando el S.I.I. con los requisitos y características que se irán definiendo en los subsiguientes apartados.

Ello en virtud de los datos facilitados por el departamento de Recursos Humanos.

No obstante, como igualmente se referirá en alusión al ámbito temporal de aplicación de la Ley y ámbito de responsabilidad, estas compañías ya disponían de un canal de denuncias en el marco de la implementación del Plan de Prevención de Riesgos Penales, por lo que:

De conformidad con la previsión establecida en la Disposición Transitoria Primera se acomodará el canal de denuncias existente a las previsiones y acuerdos que se adopten en el marco del presente Protocolo.

Cabe la opción y así se plantea ante el Órgano de Administración a los efectos de su aprobación, que sea el actual Comité de Prevención de Riesgos Penales, como tal órgano colegiado, el que se instituya como Responsable del sistema de gestión. Ello sin perjuicio de que de conformidad con lo dispuesto en el artículo 8 de la Ley (véase a estos efectos el apartado “Designación del responsable del sistema”) este órgano colegiado delegue en uno o varios de sus miembros las facultades de gestión del S.I.I. y de tramitación de expedientes de investigación.

ÁMBITO DE APLICACIÓN TEMPORAL

La aplicación temporal viene definida por el contenido de la Disposición transitoria segunda de la Ley, ello partiendo de la consideración de que la Ley 2/2023 tiene como fecha de entrada en vigor el 13 de marzo de 2023:

• Las Administraciones, organismos, empresas y demás entidades obligadas a contar con un S.I.I. deberán implantarlo en el plazo máximo de tres meses a partir de la entrada en vigor de esta ley.
• Como excepción, en el caso de las entidades jurídicas del sector privado con doscientos cuarenta y nueve trabajadores o menos, así como de los municipios de menos de diez mil habitantes, el plazo previsto en el párrafo anterior se extenderá hasta el 1 de diciembre de 2023.
• Los canales y procedimientos de información externa se regirán por su normativa específica resultando de aplicación las disposiciones de esta ley en aquellos aspectos en los que no se adecúen a la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019. Dicha adaptación deberá producirse en el plazo de seis meses desde la entrada en vigor de esta ley.

En virtud de las consideraciones expuestas, el presente Protocolo como expresión del cumplimiento de los requisitos de implementación previstos en la Ley tiene como fecha límite para su correcta y completa inserción en esta entidad el 1 de diciembre de 2023, toda vez que el número de trabajadores supera los umbrales previstos en el apartado 1 de la disposición -menos de doscientos cincuenta, por lo que no está obligada a cumplir el plazo máximo de 3 meses de la Disposición Transitoria 2ª de la Ley

En cumplimiento de lo anterior, en el apartado “Obligaciones del Órgano de Administración” se enumerarán los acuerdos y actuaciones que se habrán de llevar a cabo con anterioridad a la citada fecha en cumplimiento de las diferentes previsiones señaladas en la Ley.

ÁMBITO DE APLICACIÓN MATERIAL

El S.I.I. configurado mediante el presente Protocolo se limitará a la recepción y tramitación de informaciones relacionadas con actuaciones ejecutadas en el seno, a través o beneficio de esta entidad, siguiendo el contenido del artículo de 2 de la Ley3 2/2023, limitándose al siguiente ámbito material, quedando específicamente excluidas aquellas comunicaciones cuyo objeto no se corresponda con las aquí previstas:

• Cualesquiera acciones u omisiones que puedan constituir infracciones del Derecho de la Unión Europea siempre que:
  • Entren dentro del ámbito de aplicación de los actos de la Unión Europea enumerados en el anexo de la Directiva (UE) 2019/1937, con independencia de la calificación que de las mismas realice el ordenamiento jurídico interno;
  • Afecten a los intereses financieros de la Unión Europea tal y como se contemplan en el artículo 325 del TFUE; o
  • Incidan en el mercado interior, tal y como se contempla en el artículo 26, apartado 2 del TFUE.

• Acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave.
• Se excluyen las informaciones que afecten a la información clasificada, secreto profesional de los profesionales de la medicina y de la abogacía, del deber de confidencialidad de las Fuerzas y Cuerpos de Seguridad en el ámbito de sus actuaciones, así como del secreto de las deliberaciones judiciales.
• Se excluyen las informaciones relativas a infracciones en la tramitación de procedimientos de contratación que contengan información clasificada o que hayan sido declarados secretos o reservados, o aquellos cuya ejecución deba ir acompañada de medidas de seguridad especiales conforme a la legislación vigente, o en los que lo exija la protección de intereses esenciales para la seguridad del Estado.

El procedimiento para la recepción, gestión y resolución de informaciones se definirá en el apartado “procedimiento de gestión y tramitación de informaciones”.

ÁMBITO PROCEDIMENTAL

Desde un punto de vista procedimental, sin perjuicio de los concretos trámites, plazos, garantías y requisitos que se establecerán en el apartado relativo a “procedimiento de gestión y tramitación de informaciones” y que, además, será objeto de publicidad en cumplimiento de lo exigido en el artículo 25 de la Ley 2/2023, el S.I.I. de las informaciones velará por el cumplimiento de los siguientes principios en virtud de lo establecido en el artículo 5 y siguientes de la Ley:

• Permitir la comunicación de información en los términos expuestos en el ámbito de aplicación subjetivo y objetivo.
• Garantizar la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, y de las actuaciones que se desarrollen en la gestión y tramitación de la misma, así como la protección de datos, impidiendo el acceso de personal no autorizado.

Véase que el ámbito de aplicación material definido en el presente Protocolo excede el ámbito propio del ya definido con ocasión de la implantación del “canal de denuncias” en el marco del Plan de Prevención de Riesgos Penales.

• Permitir la presentación de comunicaciones por escrito o verbalmente, o de ambos modos, incluso mediante comunicación presencial.
• Opción de presentar comunicaciones anónimas.
• Garantizar que las comunicaciones presentadas puedan tratarse de manera efectiva.
• Ser independientes y aparecer diferenciado.
• Contar con un responsable del sistema.
• Contar con una política debidamente publicada y accesible.
• Contar con un procedimiento de gestión de las informaciones recibidas.
• Establecer las garantías para la protección de los informantes.
• Informar sobre los canales externos.

El procedimiento de gestión de informaciones (definido en el apartado “procedimiento de gestión y tramitación de informaciones”), articulará recogiendo las premisas siguientes:

• Identificación del canal interno de información o S.I.I..
• Identificación de los canales externos de información.
• Garantía de remisión de acuse de recibo de la comunicación al informante, en el plazo de siete días naturales siguientes a su recepción, salvo que ello pueda poner en peligro la confidencialidad de la comunicación.
• Determinación del plazo máximo para dar respuesta a las actuaciones de investigación, el cual se fija en tres (3) meses a contar desde la recepción de la comunicación o, si no se remitió un acuse de recibo al informante, a tres (3) meses a partir del vencimiento del plazo de siete (7) días después de efectuarse la comunicación, salvo casos de especial complejidad que requieran una ampliación del plazo, en cuyo caso, este podrá extenderse hasta un máximo de otros tres meses adicionales.
• Previsión de la posibilidad de mantener la comunicación con el informante y, si se considera necesario, de solicitar a la persona informante información adicional.
• Establecimiento del derecho de la persona afectada a que se le informe de las acciones u omisiones que se le atribuyen, y a ser oída en cualquier momento.
• Garantía de la confidencialidad.
• Exigencia del respeto a la presunción de inocencia y al honor de las personas afectadas.
• Respeto de las disposiciones sobre protección de datos personales.
• Remisión de la información al Ministerio Fiscal con carácter inmediato cuando los hechos pudieran ser indiciariamente constitutivos de delito.

ÁMBITO DE DIFUSIÓN E INFORMACIÓN

La Ley impone a las entidades unas obligaciones informativas desde una doble vertiente, distinguiendo la publicidad y difusión que, por un lado, ha de hacerse sobre los derechos del informante y del procedimiento de gestión (véase apartado “ámbito procedimental”) y, por otro lado, la publicidad entendida como las comunicaciones dirigidas a la autoridad competente informante de aspectos formales como, por ejemplo, la designación del Responsable del sistema.

En relación a los particulares y/o eventuales informantes los mínimos de información se establecen en el artículo 25 de la Ley (“Información sobre los canales interno y externo de información”), resultando:

• Proporcionar información adecuada de forma clara y fácilmente accesible sobre el uso del S.I.I. y sobre los principios esenciales del procedimiento de gestión.
• Las condiciones para poder acogerse a la protección.
• Los datos de contacto para los canales externos de información.
• El régimen de confidencialidad aplicable a las comunicaciones y, en particular, la información sobre el tratamiento de los datos personales.
• Las vías de recurso y los procedimientos para la protección frente a represalias, y la disponibilidad de asesoramiento confidencial.
• Los datos de contacto de la Autoridad Independiente de Protección del Informante, A.A.I. o de la autoridad u organismo competente de que se trate.

La información descrita en los puntos precedentes, como se indicará y definirá exhaustivamente en el apartado relativo al procedimiento de gestión y tramitación, se insertará en la página web de la entidad, en una sección separada y fácilmente identificable.

ÁMBITO DE RESPONSABILIDAD

La responsabilidad de la implementación del S.I.I. en los términos exigidos por la Ley es el Órgano de Administración tal y como se predica en el artículo 5 de la misma (“El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el responsable de la implantación del S.I.I.”). No obstante, las obligaciones dimanantes de la Ley que se referirán en el correspondiente apartado “obligaciones del Órgano de Administración”, no resultan únicamente predicables con respecto de éste sino de cualesquiera personas que, dentro del ámbito de actuación de la Ley incurran en las infracciones descritas en el cuerpo normativo:

Artículo 62. Sujetos responsables.

• Estarán sujetos al régimen sancionador establecido en esta ley las personas físicas y jurídicas que realicen cualquiera de las actuaciones descritas como infracciones en el artículo 63.
• Cuando la comisión de la infracción se atribuya a un órgano colegiado la responsabilidad será exigible en los términos que señale la resolución sancionadora. Quedarán exentos de responsabilidad aquellos miembros que no hayan asistido por causa justificada a la reunión en que se adoptó el acuerdo o que hayan votado en contra del mismo.
• La exigencia de responsabilidades derivada de las infracciones tipificadas en esta ley se extenderá a los responsables incluso aunque haya desaparecido su relación o cesado en su actividad en o con la entidad respectiva.

Por lo tanto, se predica una responsabilidad primaria con respecto del órgano de administración, obligación tendente a la implementación de la Ley. En segundo término, esta responsabilidad se derivaría al Responsable del sistema de gestión, ello ya sea persona física u órgano colegiado que haya sido nombrado de acuerdo a los requisitos exigidos en el artículo 8 de la Ley.

Esta persona física u órgano colegiado, como sujetos encargados de recibir, tramitar, resolver las informaciones y velar por el adecuado cumplimiento de las premisas impuestas por la normativa, responderá de las infracciones cometidas siempre que no resulten de culpa exclusiva y excluyente de un tercero.

DERECHOS DEL INFORMANTE

Los derechos del informante, los cuales serán objeto de publicación en cumplimiento de los requisitos previstos en el artículo 25 de la Ley, incluyendo un epígrafe en el apartado “procedimiento de gestión y tramitación” que recoja el contenido preciso, se referirán en este punto en referencia a la incidencia que tienen con respecto a esta entidad, es decir, desde la óptica del sujeto pasivo que debe dar cumplimiento a las obligaciones impuestas por la Ley:

Confidencialidad (artículo 33):

La entidad debe garantizar que la identidad del informante no sea revelada a terceras personas, velando porque el S.I.I. iimplementado cuente con los requisitos personales y técnicos que protejan a este, no recabando datos que pudiesen identificar al informante o a cualquier persona que este aluda en su comunicación.

La entidad o, en su caso, el Responsable del sistema, solo podrá comunicar la identidad del informante a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora; siempre comunicando previamente al informante que su identidad va a ser revelada, salvo que esto pudiera comprometer la investigación o procedimiento judicial.

• La entidad publicará, para las comunicaciones escritas, un formulario que permitirá de modo opcional para el informante el indicar un domicilio, correo electrónico o lugar seguro donde recibir las comunicaciones que realice a propósito de la investigación o, en su caso, renunciar a recibir comunicaciones. Esta opción se le proporcionará de igual manera cuando se efectúen comunicaciones verbales, indicando la posibilidad de que el informante designe medio para la recepción de las comunicaciones si lo desea (artículo 7).
• Asistencia o asesoramiento jurídico: Comunicar al informante la posibilidad, bajo su elección de comparecer siendo asistido, en su caso y si lo considera oportuno, por abogado (artículo 21).
• Protección de datos de carácter personal (artículo 31):

La entidad deberá facilitar la información a que se refieren los artículos 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y 11 de la Ley Orgánica 3/2018, de 5 de diciembre, cuando se obtengan directamente de los interesados sus datos personales

Informar al informante, 

siempre que hubiere informado de su deseo de recibir comunicaciones, sobre el estado de la tramitación de su comunicación o información y los resultados de la investigación.

Medidas de protección (artículo 35) y protocolo de no represalias (artículo 36):

La entidad debe garantizar que se tomen las medidas protectoras de las personas informantes, impidiendo que se lleven a cabo acciones de represalias en consecuencia de las informaciones presentadas a través del S.I.I.  y, en su caso, adoptar las medidas disciplinarias procedentes. Las medidas protectoras y el protocolo frente a las represalias se enunciarán en el apartado correspondiente al “procedimiento de gestión y tramitación”.

Deber de información (artículo 25):

La entidad debe proporcionar la información adecuada de forma clara y fácilmente accesible, sobre el uso del S.I.I., así como sobre los principios esenciales del procedimiento de gestión, información que en el presente caso se definirá en el apartado “procedimiento de gestión y tramitación” y que deberá ser a su vez objeto de publicación en la página web de la compañía, comprendiendo, en todo caso, lo siguiente:

• las condiciones para poder acogerse a la protección.
• los datos de contacto para los canales externos de información.
• los procedimientos de gestión.
• el régimen de confidencialidad aplicable a las comunicaciones.
• las vías de recurso y los procedimientos para la protección frente a represalias.
• los datos de contacto de la Autoridad Independiente de Protección del Informante, A.A.I. o de la autoridad u organismo competente de que se trate.

PROTOCOLO DE “NO REPRESALIAS”

La prohibición de represalias es un derecho que tiene tanto el informante como las personas especialmente relacionadas con este (definidas en el apartado “ámbito de aplicación subjetivo I”) garantizando su protección por un plazo mínimo de dos años desde la presentación de la información, persiguiendo con la implementación de este programa la adopción de las medidas pertinentes dirigidas a prevenir y evitar cualesquiera de las conductas que puedan constituir un supuesto de represalia de las que las que enumerarán en este apartado, deviniendo estos actos nulos de pleno derecho y pudiendo dar lugar, en su caso, a medidas correctoras disciplinarias o de responsabilidad, pudiendo incluir la correspondiente indemnización de daños y perjuicios al perjudicado.

La prohibición de represalias se define en el artículo 36 de la Ley 2/2023 estableciendo que “se prohíben expresamente los actos constitutivos de represalia, incluidas las amenazas de represalia y las tentativas de represalia contra las personas que presenten una comunicación”, entendiendo por represalia “cualesquiera actos u omisiones que estén prohibidos por la ley, o que, de forma directa o indirecta, supongan un trato desfavorable que sitúe a las personas que las sufren en desventaja particular con respecto a otra en el contexto laboral o profesional, solo por su condición de informantes, o por haber realizado una revelación pública”.

Específicamente se prohíben las conductas que incurriesen en algunas de las siguientes situaciones, con la excepción de que las mismas, por causas acreditadas o acreditables, se hubieren tomado por razones ajenas a la presentación de la comunicación o información que, en todo caso, deberá probar la persona que hubiera tomado la medida prohibida:

• Suspensión del contrato de trabajo, despido o extinción de la relación laboral o estatutaria, incluyendo la no renovación o la terminación anticipada de un contrato de trabajo temporal una vez superado el período de prueba, o terminación anticipada o anulación de contratos de bienes o servicios, imposición de cualquier medida disciplinaria, degradación o denegación de ascensos y cualquier otra modificación sustancial de las condiciones de trabajo y la no conversión de un contrato de trabajo temporal en uno indefinido, en caso de que el trabajador tuviera expectativas legítimas de que se le ofrecería un trabajo indefinido.
• Daños, incluidos los de carácter reputacional, o pérdidas económicas, coacciones, intimidaciones, acoso u ostracismo.
• Evaluación o referencias negativas respecto al desempeño laboral o profesional.
• Inclusión en listas negras o difusión de información en un determinado ámbito sectorial, que dificulten o impidan el acceso al empleo o la contratación de obras o servicios.
• Denegación o anulación de una licencia o permiso.
• Denegación de formación.
• Discriminación, o trato desfavorable o injusto.
• Cambio de puesto de trabajo, cambio de ubicación del lugar de trabajo, reducción salarial.
• Degradación o denegación de ascensos.
• Denegación de formaciones, cursos, entre otros.
• Evaluación o referencias negativas sobre resultados laborales.
• La suspensión, despido, destitución o medidas equivalentes.
• Imposición de medidas disciplinarias, amonestaciones u otra sanción, incluidas las disminuciones de periodos de descanso o vacaciones.
• Intimidaciones, acoso, discriminación o trato desfavorable.
• Daños físicos, morales o reputaciones, incluidos en medios sociales.
• Revelación anónima de información, identificando al informante para que sufra hostilidades en el entorno laboral.
• Proceso de difamación fuera del entorno laboral.
• Alegar la existencia de la cláusula de confidencialidad entre el informante y la Organización, para sancionar al informante por su incumplimiento.

DERECHOS DE LA PERSONA AFECTADA

La persona que resulte inicialmente afectada por las informaciones vertidas a través del S.I.I., así como aquellas que devengan investigadas en ulteriores momentos del procedimiento, cuentan en virtud de la aplicación del contenido del artículo 39 de la Ley de una serie de derechos y protecciones:

Artículo 39. Medidas para la protección de las personas afectadas.

Durante la tramitación del expediente las personas afectadas por la comunicación tendrán derecho a la presunción de inocencia, al derecho de defensa y al derecho de acceso al expediente en los términos regulados en esta ley, así como a la misma protección establecida para los informantes, preservándose su identidad y garantizándose la confidencialidad de los hechos y datos del procedimiento.

El procedimiento de gestión del S.I.I. previsto en el presente protocolo garantiza los siguientes derechos a la persona con respecto de la cual se presente la información (ver “procedimiento de gestión y tramitación”):

• Se preservará y garantizará la confidencialidad de los datos correspondientes a las personas afectadas y a cualquier tercero que se mencione en la información suministrada.
• Derecho de defensa.
• Derecho a la presunción de inocencia.
• Derecho de acceso al expediente, con las limitaciones necesarias para preservar la identidad y confidencialidad propugnada para el informante respecto a terceros.
• Derecho a hacer alegaciones.

CONFLICTO DE INTERESES

El artículo 8, apartado 5, de la Ley 2/2023 en relación con la figura del Responsable del S.I.I. propugna que, en todo caso, se habrá de tratar de evitar a la hora de configurar el sistema las “posibles situaciones de conflicto de interés”.

En su virtud, en el caso de que los hechos informados o comunicados pudieran afectar a alguna de las personas integrantes del Consejo de Administración, del Comité de Prevención de Riesgos Penales como órgano colegiado que se designará como Responsable del S.I.I. de informaciones (véase apartado “Acuerdos del Órgano de Administración”) o, en su caso, a la persona física en la que este delegará a los efectos previstos en el artículo 8 de la Ley, o que de cualquier forma puedan generar un conflicto de interés para alguna de estas personas, la persona afectada deberá abstenerse de intervenir en el procedimiento de tramitación de las comunicaciones o informaciones, según se describe a continuación.

Se entenderá que existe conflicto de interés en aquellos casos en los que los intereses particulares de alguna de estas personas puedan limitar su capacidad de llevar a cabo, con la debida objetividad, neutralidad e imparcialidad, la tramitación e instrucción de las comunicaciones o informaciones. Este conflicto se presume que existirá cuando los hechos informados o comunicados se encuadren dentro de las responsabilidades y funciones ejecutivas de alguno de los miembros del Consejo de Administración o del Comité de Cumplimiento, y podrá darse igualmente cuando los hechos afecten a alguna persona con la que cualquiera de ellos tenga vínculos de parentesco (hasta tercer grado, inclusive) o un interés empresarial.

Como consecuencia de lo anterior, si la persona informante sospechara que los hechos pudieran implicar una situación de conflicto de interés con el Comité de Cumplimiento, podrá presentar la comunicación o información directamente ante la persona que ostente el cargo de Secretario del Consejo de Administración. En tales casos, y siempre y cuando sea verificada la existencia de tal situación de conflicto de interés, se encomendará al Despacho de Carlos Cabrera, como asesor externo, la tramitación e instrucción de la comunicación o información, no teniéndose que seguir para su contratación los controles de gestión presupuestaria que pudieran resultar de aplicación.

PROCEDIMIENTO DE GESTIÓN Y TRAMITACIÓN DE INFORMACIONES

El procedimiento de gestión y tramitación de informaciones conforme a las disposiciones establecidas y referenciadas en el apartado V) Ámbito procedimental, desarrolladas a lo largo de este protocolo y que será objeto de concreta publicidad en cumplimiento de lo exigido en el artículo 25 y siguientes de la Ley 2/2023, se regirá por las siguientes actuaciones:

Recepción de las informaciones

Las informaciones serán recibidas:

• A través del formulario insertado en la pestaña “Canal interno de Información” habilitado en la página web www.ventajon.com
• Excepcionalmente, mediando solicitud del informante – solicitud que se deberá formular por las mismas vías señaladas en los puntos anteriores-, se permitirá la formulación de la comunicación o información de forma presencial, a efecto de lo cual se le concertaría una reunión dentro de los siete días naturales siguientes a la presentación de la solicitud.

De optar el informante por la presentación presencial de la comunicación o información esta será documentada, a elección del informante:

• mediante una grabación de la conversación en un formato seguro, duradero y accesible, o
• a través de una transcripción completa y exacta de la conversación realizada por el personal responsable de tratarla.

El informante, habiendo optado por cualquiera de las opciones de presentación de información, podrá elegir si desea recibir las comunicaciones de las actuaciones que se produzca durante el procedimiento, incluido el acuse de recibo, debiendo indicar para ello una dirección, ya sea postal o electrónica, o número de teléfono para la recepción de comunicaciones, ello sin perjuicio del derecho de renuncia en cualquier momento del procedimiento.

Se establecerá un sistema por el que al informante, al momento de presentar la comunicación o información, se le facilite un código o referencia de comunicación o información. Con ese código se le permitirá desde la web del Canal, acceder para consultar, si así lo estima, el estado de tramitación de su comunicación o información y los actos y solicitudes de información que el gestor del canal les haya, en su caso, requerido. Desde ese apartado, el informante, podrá aportar la información adicional que se le requiera, siempre manteniendo las condiciones de seguridad y anonimato requeridos por la ley.

En el caso de aceptar la recepción de comunicaciones, se le remitirá en un plazo de siete días naturales acuse de recibo de la información presentada.

Gestión de las informaciones o comunicaciones

La información o comunicación presentada y, en su caso, la documentación acreditativa que se hubiera adjuntado sobre los hechos informados o comunicados, serán tratados por el Responsable del sistema que se ocupará de su recepción, de realizar un análisis preliminar de los hechos informados o comunicados y su adecuación al formulario habilitado.

Tras ello, en un plazo máximo de diez (10) días hábiles a contar desde su efectiva recepción, tomará alguna de las siguientes decisiones:

- Inadmitir la comunicación, en alguno de los siguientes casos:

• Cuando los hechos relatados carezcan de toda verosimilitud.
• Cuando los hechos relatados no sean constitutivos de infracción del ordenamiento jurídico incluida en el ámbito de aplicación.
• Cuando la comunicación carezca manifiestamente de fundamento o existan, a juicio del Responsable, de indicios racionales de haberse obtenido mediante la comisión de un delito. En este último caso, además de la inadmisión, se remitirá al Ministerio Fiscal relación circunstanciada de los hechos que se estimen constitutivos de delito.
• Cuando la comunicación no contenga información nueva y significativa sobre infracciones en comparación con una comunicación anterior respecto de la cual han concluido los correspondientes procedimientos, a menos que se den nuevas circunstancias de hecho o de Derecho que justifiquen un seguimiento distinto.

- Admitir a trámite la comunicación o información.

- Remitir con carácter inmediato la información al Ministerio Fiscal cuando los hechos pudieran ser indiciariamente constitutivos de delito o a la Fiscalía Europea en el caso de que los hechos afecten a los intereses financieros de la Unión Europea.

- Remitir la comunicación a la autoridad, entidad u organismo que se considere competente para su tramitación.

Después de seguirse los anteriores hitos y plazos, la decisión adoptada por el Responsable en esta fase del  procedimiento  será  comunicada  a la persona informante  en  el plazo máximo  de    días  hábiles (10),  salvo  que  la comunicación  fuera  anónima  o  el informante hubiera renunciado a recibir comunicaciones.

- Comunicación a la persona afectada

Cualquier persona que haya sido objeto de comunicación o información admitida a trámite será informada sobre:

• La recepción de la comunicación o información,
• Una sucinta relación de hechos y de la documentación, en su caso, adjunta.
• Su derecho a presentar alegaciones por escrito en un plazo de diez (10) días naturales desde la recepción de la comunicación.
• Del tratamiento de sus datos personales.

Excepcionalmente, si el Responsable considerase que existe riesgo de que la notificación a la persona afectada pudiera comprometer la investigación, dicha comunicación podrá efectuarse en el trámite de audiencia si se considera que su aportación con anterioridad pudiera facilitar la ocultación, destrucción o alteración de las pruebas.

En todo caso, el plazo para informar a la persona afectada no excederá de un (1) mes desde que se haya recibido la comunicación o información, ya sea por escrito o mediante comunicación personal a los efectos descritos en el párrafo precedente.

- Investigación de los hechos informados o comunicados

Admitida a trámite la comunicación o información, el Responsable iniciará las oportunas investigaciones para comprobar la veracidad de los hechos informados o comunicados. Para ello podrá solicitar cuanta información y documentación considere necesaria para tratar de esclarecer los hechos informados o comunicados, a cuántas departamentos, áreas o personas de la entidad que considere oportunos.

A tal fin, y siempre que se les solicite, el personal de la entidad deberá prestar toda su colaboración con las labores de investigación que se lleven a cabo.

Para el caso del informante haber aceptado la comunicación de los actos dictados durante el procedimiento, habiendo señalado al efecto una dirección de contacto, podrá requerírsele de resultar necesario para la averiguación de los hechos, que aclare o amplie la información.

En el caso de que por la naturaleza de los hechos se estime que la investigación será compleja, podrá recabarse la ayuda o el asesoramiento especializado de un experto externo, que se coordinará con el Comité de Prevención de Riesgos Penales.

Terminación de las actuaciones

Concluidas todas las actuaciones, el Responsable del sistema emitirá un informe que contendrá:

• Una exposición de los hechos relatados junto con el código de identificación de la comunicación y la fecha de registro
• La clasificación de la comunicación a efectos de conocer su prioridad o no en su tramitación.
• Las actuaciones realizadas con el fin de comprobar la verosimilitud de los hechos.
• Las conclusiones alcanzadas en la instrucción y la valoración de las diligencias y de los indicios que las sustentan.

Emitido el informe, el Responsable adoptará alguna de las siguientes decisiones:

• Archivo del expediente, que será notificado al informante y, en su caso, a la persona afectada.
• Remisión al Ministerio Fiscal si, pese a no apreciar inicialmente indicios de que los hechos pudieran revestir el carácter de delito, así resultase del curso de la instrucción.
• Traslado de todo lo actuado a la autoridad competente.
• Adopción de medidas legales y disciplinarias internas, de cualquier índole.

El plazo para finalizar las actuaciones y dar respuesta al informante, en su caso, no podrá ser superior a tres (3) meses desde la entrada en registro de la información, o, si no se remitió un acuse de recibo al informante, a tres (3) meses a partir del vencimiento del plazo de siete (7) días después de efectuarse la comunicación, salvo casos de especial complejidad que requieran una ampliación del plazo, en cuyo caso, este podrá extenderse hasta un máximo de otros tres meses adicionales.

- Ejecución

Corresponderá aplicar la sanción interna o medidas disciplinarias acordadas en cada caso a la persona o personas que tengan atribuidas dichas funciones, bajo apoderamiento suficiente.

En el caso de que se trate de sanciones correspondientes al ámbito laboral, el encargado será el departamento de Recursos Humanos. Si la sanción es de carácter mercantil (resolución contractual, etc.) o requiere el ejercicio de acciones legales será adoptada por el Consejo de Administración, y ejecutada por persona con apoderamiento suficiente.

- Recepción de información por canales distintos al habilitado

En el supuesto de que se reciba una comunicación, ya fuera o pudiera ser objeto material del ámbito de aplicación del S.I.I., a través un canal que no sea el competente o por los miembros del personal que no sean los responsables de su tratamiento, la persona o personas que lo hubieran recibido remitirán de inmediato la comunicación al Responsable del S.I.I., no pudiendo revelar cualesquiera información que pudiera permitir identificar al informante o a la persona afectada.

- Identificación de canales externos

Además del S.I.I. implementado por esta entidad, la Ley prevé otros mecanismos de información como el canal externo (artículo 16) y la revelación pública (artículo 27). Dicho canal externo no resulta incompatible con el canal interno implementado por esta entidad, ya que este, aunque se conforma como preferente, ello no supone que sea excluyente del canal externo, de tal modo que pueden compatibilizarse e, inclusive, acudir única y exclusivamente al señalado canal externo.

Este canal externo se gestiona por la Autoridad Independiente de Protección al Informante (A.A.I.).

- Derechos del informante

El procedimiento de gestión y tramitación de informaciones velará por el cumplimiento de los derechos proclamados en favor del informante:

• Confidencialidad de las comunicaciones emitidas a través del sistema y de las resoluciones que en su caso se dicten, garantizando el anonimato para los casos en los que informante opte por esta opción, impidiendo el acceso a ella por el personal no autorizado; protección que se hace extensible a los terceros que fueran mencionados o estuvieran involucrados en la investigación.
• Indicar un domicilio, correo electrónico o lugar seguro donde recibir las comunicaciones que realice a propósito de la investigación o Renunciar, en su caso, a recibir comunicaciones.
• Comparecer por propia iniciativa o cuando sea requerido por esta, siendo asistido, en su caso y si lo considera oportuno, por abogado.
• Ejercer los derechos que le confiere la legislación de protección de datos de carácter personal.
• Conocer el estado de la tramitación del expediente de su comunicación o información y los resultados de la investigación.
• Derecho de protección: El informante tiene derecho a acogerse a las medidas de protección dispensadas en el apartado 5.10, además de cualesquiera otras que le pudieran dispensar las autoridades competentes sobre el canal externo.
• Derecho a no represalias.
• Derecho de información.

- Protección frente a represalias

Se prohíben las conductas que incurriesen en algunas de las siguientes situaciones, con la excepción de que las mismas, por causas acreditadas o acreditables, se hubieren tomado por razones ajenas a la presentación de la comunicación o información que, en todo caso, deberá probar la persona que hubiera tomado la medida prohibida:

• Suspensión del contrato de trabajo, despido o extinción de la relación laboral o estatutaria, incluyendo la no renovación o la terminación anticipada de un contrato de trabajo temporal una vez superado el período de prueba, o terminación anticipada o anulación de contratos de bienes o servicios, imposición de cualquier medida disciplinaria, degradación o denegación de ascensos y cualquier otra modificación sustancial de las condiciones de trabajo y la no conversión de un contrato de trabajo temporal en uno indefinido, en caso de que el trabajador tuviera expectativas legítimas de que se le ofrecería un trabajo indefinido.
• Daños, incluidos los de carácter reputacional, o pérdidas económicas, coacciones, intimidaciones, acoso u ostracismo.
• Evaluación o referencias negativas respecto al desempeño laboral o profesional.
• Inclusión en listas negras o difusión de información en un determinado ámbito sectorial, que dificulten o impidan el acceso al empleo o la contratación de obras o servicios.
• Denegación o anulación de una licencia o permiso.
• Denegación de formación.
• Discriminación, o trato desfavorable o injusto.
• Cambio de puesto de trabajo, cambio de ubicación del lugar de trabajo, reducción salarial.
• Degradación o denegación de ascensos.
• Denegación de formaciones, cursos, entre otros.
• Evaluación o referencias negativas sobre resultados laborales.
• La suspensión, despido, destitución o medidas equivalentes.
• Imposición de medidas disciplinarias, amonestaciones u otra sanción, incluidas las disminuciones de periodos de descanso o vacaciones.
• Intimidaciones, acoso, discriminación o trato desfavorable.
• Daños físicos, morales o reputaciones, incluidos en medios sociales.
• Revelación anónima de información, identificando al informante para que sufra hostilidades en el entorno laboral.
• Proceso de difamación fuera del entorno laboral.
• Alegar la existencia de la cláusula de confidencialidad entre el informante y la Organización, para sancionar al informante por su incumplimiento.

- Derechos de la persona afectada

El procedimiento de gestión de informaciones garantiza los siguientes derechos a la persona afectada con respecto de la cual se presente la información o comunicación:

• Se preservará y garantizará la confidencialidad de los datos correspondientes a las personas afectadas y a cualquier tercero que se mencione en la información suministrada.
• Derecho de defensa.
• Derecho a la presunción de inocencia.
• Derecho de acceso al expediente, con las limitaciones necesarias para preservar la identidad y confidencialidad propugnada para el informante terceros.
• Derecho a hacer alegaciones.

8.12    Aviso legal

En cumplimiento de lo dispuesto en el art. 13 del Reglamento (UE) 2016/679 (RGPD), le informamos que  los  datos  que   nos   facilite   mediante   correo   electrónico   van   a  ser incorporados a un fichero responsabilidad de VENTAJA EUROPA, S.A., BUENOGAR, S.L. Y MEDIANIS, S.L. y tratados con base en el cumplimiento de una obligación legal, con la finalidad de  tramitar  y  resolver las informaciones recibidas conforme al procedimiento establecido.

Sus datos podrán ser accesibles a prestadores de servicios tecnológicos externos, tales como alojamiento web, mantenimiento informático y otros similares vinculados a VE, BO Y MEDIANIS

Los datos obtenidos a través de esta vía serán conservados durante el tiempo necesario para resolver la tramitación de la comunicación o información. En todo caso podrá, en cualquier momento, revocar el consentimiento otorgado y ejercitar sus derechos de acceso, rectificación, cancelación, oposición, revocación, limitación, portabilidad y oposición a decisiones automatizadas, mediante    el    envío    de    un    correo     electrónico     a     la    siguiente dirección lopd@ventajaeuropa.com.

Si quiere obtener más información, visite Aviso Legal y Política de Privacidad de VENTAJA EUROPA, S.A., BUENOGAR, S.L. Y MEDIANIS, S.L  en el enlace, y en el site de la tienda que corresponda, accediendo a la parte legal: 

www.ventajon.com

DESIGNACIÓN DE LA FIGURA DEL RESPONSABLE DEL S.I.I.

Siguiendo la exposición recogida en el apartado “Ámbito de responsabilidad”, la Ley exige la designación por parte del Órgano de Administración de una persona física (directivo) u órgano colegiado (qué deberá delegar, igualmente, en uno de sus miembros) como Responsable del sistema de gestión, quien deberá de desarrollar sus funciones de forma totalmente independiente y autónoma:

Artículo 8. Responsable del Sistema interno de información.

• El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el competente para la designación de la persona física responsable de la gestión de dicho sistema o «Responsable del Sistema», y de su destitución o cese.
• Si se optase por que el Responsable del Sistema fuese un órgano colegiado, este deberá delegar en uno de sus miembros las facultades de gestión del S.I.I. y de tramitación de expedientes de investigación.
• Tanto el nombramiento como el cese de la persona física individualmente designada, así como de las integrantes del órgano colegiado deberán ser notificados a la Autoridad Independiente de Protección del Informante, A.I.P.I., o, en su caso, a las autoridades u órganos competentes de las comunidades autónomas, en el ámbito de sus respectivas competencias, en el plazo de los diez días hábiles siguientes, especificando, en el caso de su cese, las razones que han justificado el mismo.
• El Responsable del Sistema deberá desarrollar sus funciones de forma independiente y autónoma respecto del resto de los órganos de la entidad u organismo, no podrá recibir instrucciones de ningún tipo en su ejercicio, y deberá disponer de todos los medios personales y materiales necesarios para llevarlas a cabo
• En el caso del sector privado, el Responsable del Sistema persona física o la entidad en quien el órgano colegiado responsable haya delegado sus funciones, será un directivo de la entidad, que ejercerá su cargo con independencia del órgano de administración o de gobierno de la misma. Cuando la naturaleza o la dimensión de las actividades de la entidad no justifiquen o permitan la existencia de un directivo Responsable del Sistema, será posible el desempeño ordinario de las funciones del puesto o cargo con las de Responsable del Sistema, tratando en todo caso de evitar posibles situaciones de conflicto de interés.
• En las entidades u organismos en que ya existiera una persona responsable de la función de cumplimiento normativo o de políticas de integridad, cualquiera que fuese su denominación, podrá ser esta la persona designada como Responsable del Sistema, siempre que cumpla los requisitos establecidos en esta ley.

Esta entidad, tal y como se referirá en el apartado “obligaciones del órgano de Administración”, así como en “Elevación de propuesta de acuerdos”, debe designar a la persona física u órgano colegiado encargado de la gestión del sistema y su posterior comunicación a la autoridad competente.

En este caso, se entiende procedente que la gestión del canal se delegue en el Comité de Prevención de Riesgos Penales, comité que, por otro lado, ya gestionaba y revisaba el canal de denuncias propio del plan de prevención, canal que se adaptará para la implementación del presente protocolo.

En su virtud, la propuesta que se formulará al Órgano de Administración (“Elevación de propuesta de acuerdos”) a los efectos de adoptar la decisión prevista en este apartado sea que el Comité de Prevención de Riesgos Penales quien asuma las funciones de Responsable, sin perjuicio de que el propio Órgano de Administración adopte la decisión pertinente respecto de la persona física que de conformidad con el transcrito artículo 8 asuma la gestión y tramitación dentro de los miembros del Comité.

Esta designación deberá ser comunicada a la autoridad competente, la A.I.P.I., que, si bien en la actualidad aún no ha sido constituida, se entenderá válida la comunicación efectuada a los organismos análogos a las Agencias de Prevención y Lucha contra el Fraude y la corrupción, hasta el momento en que ésta se constituya. Ello sin desconocer la remisión que hace la Ley a la transferencia de las competencias a las Comunidades Autónomas, no teniendo de que, en la actualidad, las Comunidades Autónomas Canarias y/o Balear hayan asumido competencias en esta materia.

OBLIGACIONES DEL ÓRGANO DE ADMINISTRACIÓN

Las obligaciones impuestas por la Ley al Órgano de Administración, teniendo en cuenta que las mismas serán propuestas en el siguiente apartado al propio Órgano de Administración para su definitiva aprobación y consecuente implementación, son las siguientes:

La implantación del S.I.I. (Artículo 5: “El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el responsable de la implantación del S.I.I.”).

Someter el S.I.I. a previa información a los representantes de los trabajadores (Artículo 5: “previa consulta con la representación legal de las personas trabajadoras”).

Designación del responsable (Artículo 8: “El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el competente para la designación de la persona física responsable de la gestión de dicho sistema o «Responsable del Sistema», y de su destitución o cese”) y comunicación de este nombramiento a la Autoridad competente.

Aprobar el S.I.I.  (Artículo 9: “El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley aprobará el procedimiento de gestión de informaciones”).

Publicar la información relativa al uso y funcionamiento del S.I.I. (Artículo 25: Los sujetos comprendidos dentro del ámbito de aplicación de esta ley proporcionarán la información adecuada de forma clara y fácilmente accesible, sobre el uso de todo canal interno de información que hayan implantado, así como sobre los principios esenciales del procedimiento de gestión. En caso de contar con una página web, dicha información deberá constar en la página de inicio, en una sección separada y fácilmente identificable”).

Contar con un libro-registro de las informaciones recibidas y de las investigaciones internas (Artículo 26: Todos los sujetos obligados, de acuerdo con lo dispuesto en esta ley, a disponer de un canal interno de informaciones, con independencia de que formen parte del sector público o del sector privado, deberán contar con un libro-registro de las informaciones recibidas y de las investigaciones internas a que hayan dado lugar, garantizando, en todo caso, los requisitos de confidencialidad previstos en esta ley”).

Facilitar la información establecida en la normativa de protección de datos personales (Artículo 31: “Cuando se obtengan directamente de los interesados sus datos personales se les facilitará la información a que se refieren los artículos 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y 11 de la Ley Orgánica 3/2018, de 5 de diciembre”).

Revisar el protocolo y funcionamiento del procedimiento de gestión de informaciones (Disposición Adicional Primera: Las autoridades responsables de los canales externos de información revisarán sus procedimientos de recepción y seguimiento de informaciones al menos una vez cada tres años, incorporando actuaciones y buenas prácticas con la finalidad de que sirvan con la mayor eficacia a los fines para los que fueron creados”).

Los requisitos aquí referidos están reflejados y desarrollados en el apartado “procedimiento de gestión y tramitación”, el cual será sometido al órgano de administración para su aprobación y posterior implementación, dando, en definitiva, por cumplimentados los requisitos exigibles; ello a excepción de la consulta previa con los representantes de los trabajadores, extremo que no habrá de ser objeto de publicación pero que, de igual forma, será elevado al propio Consejo de Administración para que así lo acuerde.

ELEVACIÓN DE ACUERDOS: ACUERDOS ADOPTADOS POR PARTE DEL ÓRGANO DE ADMINISTRACIÓN A PROPUESTA.

En virtud del contenido del presente Protocolo y, en concreto, de las previsiones recogidas en el aparatado “OBLIGACIONES DEL ÓRGANO DE ADMINISTRACIÓN”, y elevado al Consejo de Administración el presente Protocolo para su definitiva aprobación, fue aprobado por el mismo en sesión de 29 de noviembre de 2023 junto con el resto de las propuestas de Acuerdos, aprobándose por el Consejo:

La implantación del S.I.I., en cumplimiento de lo establecido en el artículo 5 de la Ley 2/2023, ello tras el debido informe previo a los representantes de los trabajadores.

La aprobación del procedimiento de gestión de informaciones en los términos definidos en el apartado “procedimiento de gestión y tramitación”, en cumplimiento de lo establecido en el artículo 9 de la Ley 2/2023.

Designación del Responsable del S.I.I. y su ulterior comunicación a la autoridad correspondiente, a razón de lo exigido en el artículo 8 de la Ley 2/2023, designándose para dicho puesto al comité de cumplimiento del Compliance Legal actualmente elegido

Publicar la información relativa al uso y funcionamiento del procedimiento de gestión de informaciones, en virtud de lo preceptuado en el artículo 25 de la Ley 2/2023.