 |
| Fuente de la imagen: mvc archivo propio |
Resumen: El Plan de Implantación del Sistema Interno de Información (SII), o Canal de Denuncias, se rige por la Ley 2/2023 para garantizar la protección del informante en España. El proceso se divide en cinco fases estructuradas. La Fase 1 (Fundación Legal) exige el nombramiento de un Responsable del Sistema (RSII) independiente y la definición de las infracciones cubiertas. La Fase 2 (Diseño Técnico) requiere la implementación de una plataforma segura que garantice la confidencialidad y el anonimato, además de habilitar canales escritos y orales. Esta fase es crítica para cumplir con los plazos legales: siete días para el acuse de recibo y un máximo de tres meses para la resolución. La Fase 3 (Marco Normativo) se centra en redactar la Política del SII y el Procedimiento de Gestión detallado, asegurando la adaptación al RGPD. La Fase 4 (Lanzamiento) incluye la publicidad obligatoria del Canal y la formación del personal, haciendo hincapié en la prohibición de represalias. Finalmente, la Fase 5 (Mejora Continua) exige la conservación de un Libro-Registro de Informaciones y la revisión periódica del sistema.
Palabras Clave: Ley 2/2023, Sistema Interno de Información (SII), Responsable del Sistema (RSII), Anonimato y Confidencialidad, Prohibición de Represalias, Libro-Registro de Informaciones
Summary: The Implementation Plan for the Internal Information System (IIS), or Whistleblowing Channel, is governed by Law 2/2023 to guarantee whistleblower protection in Spain. The process is divided into five structured phases. Phase 1 (Legal Foundation) requires the appointment of an independent System Manager (ISM) and the definition of the covered infractions. Phase 2 (Technical Design) requires the implementation of a secure platform that guarantees confidentiality and anonymity, as well as enabling written and oral channels. This phase is critical for complying with legal deadlines: seven days for acknowledgment of receipt and a maximum of three months for resolution. Phase 3 (Regulatory Framework) focuses on drafting the SII Policy and the detailed Management Procedure, ensuring compliance with the GDPR. Phase 4 (Launch) includes the mandatory publicity of the Channel and staff training, emphasizing the prohibition of retaliation. Finally, Phase 5 (Continuous Improvement) requires the maintenance of an Information Logbook and the periodic review of the system.
Keywords: Law 2/2023, Internal Information System (SII), System Owner (ISO), Anonymity and Confidentiality, Prohibition of Retaliation, Information Logbook
1. Introducción y Alcance
Este Plan establece las fases para la correcta implementación y puesta en funcionamiento del Sistema Interno de Información (SII) o Canal de Denuncias, asegurando el cumplimiento con la Ley 2/2023 y la normativa de protección de datos (RGPD).
1.2. Ámbito de Aplicación
Personas jurídicas del sector público.
Personas jurídicas del sector privado con 50 o más trabajadores.
Personas jurídicas que operen en determinados sectores (servicios financieros, prevención de blanqueo de capitales, etc.), independientemente de su tamaño.
2. FASE 1: Análisis Preliminar y Nombramiento
2.1. Nombramiento del Responsable del Sistema
Acción: La alta dirección o el órgano de administración nombra al "Responsable del Sistema Interno de Información" (RSII).
Requisitos: El RSII debe ser un órgano o persona física independiente y autónoma dentro de la empresa, con acceso directo al órgano de gobierno. Puede ser el Compliance Officer, el Director de Recursos Humanos o un comité, siempre que garantice la independencia.
Formalización: Documentar el nombramiento y la aceptación de las funciones y responsabilidades.
2.2. Análisis de Riesgos y Definición del Ámbito
Acción: Identificar las áreas de mayor riesgo de infracción dentro de la organización (fraude, corrupción, acoso, incumplimientos laborales, competencia, medioambiente, etc.).
Cobertura Legal: Definir las infracciones que serán objeto de denuncia, conforme al Art. 2 de la Ley 2/2023 (infracciones penales, administrativas graves o muy graves, e infracciones del Derecho de la Unión Europea).
2.3. Asignación de Recursos
Acción: Establecer el presupuesto, el equipo de apoyo al RSII y las herramientas tecnológicas necesarias para gestionar el Canal.
3. FASE 2: Diseño y Configuración Técnica (Establecimiento del Canal)
3.1. Selección e Implementación de la Herramienta Tecnológica
Acción: Contratar o desarrollar una plataforma digital que garantice la confidencialidad, la integridad de los datos y el almacenamiento seguro.
Garantías Técnicas:
Anonimato: Permitir la presentación de denuncias anónimas y asegurar la trazabilidad sin revelar la identidad del informante.
Comunicación Segura: Habilitar un canal de comunicación seguro y cifrado entre el informante (incluso anónimo) y el RSII.
Cumplimiento RGPD: Servidores ubicados dentro de la UE y medidas de seguridad técnicas y organizativas.
3.2. Definición de Canales de Denuncia
Acción: Habilitar las vías de comunicación necesarias. La Ley exige que se ofrezcan medios escritos y orales.
Medios Mínimos Obligatorios:
Canal Escrito: Plataforma digital, correo electrónico específico o buzón físico.
Canal Oral: Llamada telefónica (grabada, con consentimiento) o sistema de mensajería de voz; o bien, reunión presencial a solicitud del informante.
3.3. Configuración de Plazos y Notificaciones
Acción: Programar el sistema para que gestione automáticamente los plazos legales.
Plazos Críticos:
Acuse de Recibo: Envío automático en un plazo no superior a siete días naturales desde la recepción de la comunicación.
Resolución: Plazo máximo de tres meses desde la recepción, o seis meses si se trata de un caso de especial complejidad, informando al denunciante.
4. FASE 3: Documentación y Marco Normativo (Política y Procedimiento)
4.1. Elaboración de la Política del Sistema Interno de Información (SII)
Acción: Redactar un documento claro que defina la voluntad de la empresa de luchar contra la corrupción y el fraude.
Contenido Mínimo: Objetivos, ámbito de aplicación, compromiso de la dirección, y la prohibición expresa de represalias.
4.2. Redacción del Procedimiento de Gestión del SII
Acción: Documentar el flujo completo de una denuncia, desde la recepción hasta la conclusión.
Detalle del Procedimiento:
Recepción: Acuse de recibo y registro de entrada.
Admisión a Trámite: Análisis inicial por el RSII.
Investigación: Fases de la investigación, garantía de audiencia al afectado y principio de presunción de inocencia.
Conclusión y Archivo: Adopción de medidas correctoras o decisión de archivo.
4.3. Adaptación en Protección de Datos
Acción: Actualizar los Registros de Actividades de Tratamiento (RAT) y redactar la "Cláusula de Protección de Datos del Canal".
Garantías RGPD :
Legitimación: Cumplimiento de obligación legal.
Retención de Datos: No superior a diez años. En general, los datos se conservarán solamente el tiempo necesario para la investigación (no más de tres meses si no hay investigación).
Información: Informar sobre el tratamiento de datos a informantes y afectados.
5. FASE 4: Comunicación y Formación (Lanzamiento)
5.1. Información y Publicidad del Canal
Acción: Publicitar la existencia del Canal, su funcionamiento y los principios esenciales de la Ley.
Medios de Publicidad:
Publicación en la página web de la empresa (si existe).
Ubicación en un lugar visible, accesible y fácilmente identificable del centro de trabajo (tablones de anuncios, Intranet, etc.).
Incluir información sobre el canal externo (Autoridad Independiente de Protección del Informante - A.I.P.I.).
5.2. Formación del Personal
Acción: Impartir formación a todo el personal, especialmente a mandos intermedios y al equipo gestor del Canal (RSII y colaboradores).
Contenido de la Formación: Uso del Canal, prohibición de represalias, concepto de "Informante de buena fe" y la importancia del anonimato/confidencialidad.
6. FASE 5: Gestión y Mejora Continua (Operación)
6.1. Gestión de Represalias y Medidas de Protección
Acción: Monitorizar activamente cualquier posible acto de represalia contra un informante.
Compromiso: Aplicar sanciones internas inmediatas a quien infrinja la prohibición de represalias.
6.2. Conservación de Registros
Acción: El RSII debe mantener un Libro-Registro de Informaciones, garantizando la máxima confidencialidad. Los datos solamente serán accesibles al RSII y se registrará toda la información recibida, investigada y archivada.
6.3. Revisión Periódica
Acción: Revisar y actualizar la Política y el Procedimiento del SII al menos cada dos años o ante cambios normativos y organizativos relevantes.
Auditoría: Realizar auditorías internas o externas para verificar la eficacia y el cumplimiento legal del Canal.
7. Consideraciones Finales
El incumplimiento de la obligación de implantar el Canal de Denuncias constituye una infracción grave sancionable con multas de hasta 600.000 euros para las personas jurídicas.
8. Referencias
Ley 2/2023, de 20 de febrero. Regula la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Todos los requisitos de plazos, el nombramiento del RSII, los canales obligatorios y las sanciones provienen directamente de esta ley.
Reglamento (UE) 2016/679 (RGPD): Es la base para la Fase 3 (Adaptación en Protección de Datos), ya que la gestión del canal implica el tratamiento de datos personales de informantes y afectados, rigiéndose por sus principios (legitimación, retención, información).