sábado, 25 de marzo de 2023

La Política del Sistema Interno de Información

Fuente de la imagen: mvc archivo propio
M. Velasco, 2023. La Política del Sistema Interno de Información (SII) como Pilar de la Cultura de Integridad en España: Un Análisis en el Marco de la Ley 2/2023 - The Internal Information System (IIS) Policy as a Pillar of the Culture of Integrity in Spain: An Analysis within the Framework of Law 2/2023

Resumen: La Ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, exige a las entidades públicas y privadas la implementación de un Sistema Interno de Información (SII) o Canal de Denuncias. Dentro de la Fase 3 de implantación —Documentación y Marco Normativo—, la redacción de la Política del SII emerge como la acción fundacional y estratégica. Este artículo científico analiza la necesidad, estructura, y contenido mínimo de dicho documento, enfocándose en su papel como declaración formal del compromiso de la dirección con la ética corporativa y la lucha contra el fraude. Se profundiza en elementos clave como los objetivos del sistema, el ámbito de aplicación, la demostración del compromiso directivo (tone at the top), y la prohibición expresa y el mecanismo de protección ante las represalias, configurando la Política como una herramienta de garantía y fomento de una cultura organizativa de transparencia y compliance efectivo.

Palabras Clave: Ley 2/2023, Sistema Interno de Información (SII), Canal de Denuncias, Política de Compliance, Represalias, Ética Corporativa, Lucha contra la Corrupción, Integridad Organizativa.

Abstract: Law 2/2023, which regulates the protection of whistleblowers and combats corruption, requires public and private entities to implement an Internal Information System (IIS) or Whistleblowing Channel. Within Phase 3 of implementation—Documentation and Regulatory Framework—the drafting of the IIS Policy emerges as the foundational and strategic action. This scientific article analyzes the need for, structure of, and essential minimum content of this document, focusing on its role as a formal declaration of management's commitment to corporate ethics and the fight against fraud. This document delves into key elements such as the system's objectives, scope, demonstration of management commitment (tone at the top), and, crucially, the explicit prohibition of and protection against retaliation, establishing the Policy as a tool for guaranteeing and promoting an organizational culture of transparency and effective compliance.

Keywords: Law 2/2023, Internal Information System (IIS), Whistleblowing Channel, Compliance Policy, Retaliation, Corporate Ethics, Anti-Corruption, Organizational Integrity.

1. Introducción: El Imperativo Legal y Ético

La entrada en vigor de la Ley 2/2023 en España representa un hito normativo que trasciende la mera obligación formal, estableciéndose como un catalizador para la transformación de la cultura ética en las organizaciones. Dicha ley, que traspone la Directiva (UE) 2019/1937 (Whistleblowing Directive), sitúa la protección de las personas informantes —tanto trabajadoras como colaboradoras y terceras— en el centro de la estrategia de cumplimiento.

El Sistema Interno de Información (SII), o Canal de Denuncias, es el instrumento operativo para la detección temprana de infracciones, pero su eficacia no reside únicamente en su diseño técnico, sino en el respaldo explícito de la entidad. Es en este contexto donde la Política del Sistema Interno de Información se convierte en el documento de mayor relevancia estratégica de la Fase 3 del proceso de implantación (Documentación y Marco Normativo).

La Política es la piedra angular que define la voluntad, el alcance y los principios éticos innegociables de la entidad frente a la corrupción, el fraude, y otras infracciones graves o muy graves que puedan afectar al interés general. Su redacción, por lo tanto, debe ser precisa, accesible e inequívoca en la defensa de la persona informante. 

En un entorno donde la desconfianza puede inhibir la acción de informar, esta Política actúa como un contrato de seguridad, proporcionando las garantías necesarias para que el personal y la ciudadanía actúen sin temor a consecuencias adversas. 

A continuación, se detalla la configuración y el desarrollo de los contenidos mínimos de este documento, entendiendo que su extensión y nivel de detalle determinan su credibilidad y cumplimiento.

2. Desarrollo: Contenido Básico de la Política del SII

La Política del SII es el documento de cabecera del sistema. Su naturaleza es eminentemente directiva y declarativa, debiendo ser aprobada por el órgano de gobierno o administración de la entidad, lo que le confiere su máxima autoridad jerárquica. La Ley 2/2023, junto con las mejores prácticas de compliance, exige que esta Política aborde de manera exhaustiva los siguientes puntos.

2.1. Objetivos del Sistema Interno de Información

La Política debe enunciar claramente la misión del SII, que va más allá de la simple recepción de comunicaciones. Los objetivos deben ser formulados de manera proactiva e integradora:
  • Detección y Prevención: El objetivo primario es establecer un cauce seguro y accesible para la comunicación de infracciones, permitiendo a la entidad detectar, investigar y, en su caso, remediar la comisión de actos contrarios a la legalidad y a la ética interna. Se busca la anticipación al daño.
  • Fomento de la Cultura de Integridad: La Política debe declarar el SII como un componente  del Modelo de Prevención de Delitos y del Código de Conducta, buscando el desarrollo de una cultura donde la ética sea el estándar de comportamiento esperado por todas las personas de la organización.
  • Garantía de Protección: Un objetivo es ofrecer seguridad jurídica y emocional a las personas informantes, garantizando la estricta confidencialidad de su identidad y la ausencia total de cualquier forma de represalia. La confianza en el sistema es directamente proporcional a esta garantía.
  • Cumplimiento Normativo: Formalizar el compromiso de la entidad con el acatamiento riguroso de la Ley 2/2023 y el resto de normativa aplicable, incluyendo la legislación en materia de protección de datos personales.
La redacción de estos objetivos debe ser aspiracional, pero también operativa, señalando que la finalidad última del SII es proteger el interés público y el patrimonio de la propia organización.

2.2. Ámbito de Aplicación: Sujeto y Objeto

La delimitación del ámbito de aplicación debe ser exhaustiva, abarcando tanto a las personas cubiertas por el sistema (ámbito subjetivo) como las materias que son objeto de comunicación (ámbito objetivo).

Ámbito Subjetivo (Personas Protegidas)

La Ley 2/2023 extiende la protección a una amplia gama de sujetos que mantienen o han mantenido una relación profesional con la entidad. 

La Política debe listarlos de forma clara y sin ambigüedades, incluyendo:
  • Personal empleado con relación laboral, independientemente de su posición jerárquica (incluida la alta dirección).
  • Personal autónomo o profesional que preste servicios a la entidad.
  • Accionistas, partícipes, o personas que formen parte del órgano de administración, dirección o supervisión.
  • Personas proveedoras, contratistas o subcontratistas.
  • Cualquier persona que trabaje bajo la supervisión y dirección de contratistas y subcontratistas.
  • Personas que comuniquen información obtenida en el marco de una relación precontractual (ej. candidatos a un puesto de trabajo).
  • Personas que ya hayan finalizado su relación profesional.
  • Personas del entorno de la informante (familiares, compañeros...), si pudieran sufrir represalias por asociación.
Es imperativo que la Política aclare que la protección aplica desde el momento en que se realiza la comunicación, incluso si la infracción reportada resulta ser infundada, siempre que la persona haya tenido motivos razonables para creer que la información era veraz.

Ámbito Objetivo (Materia Denunciable)

La Política debe definir qué tipo de infracciones pueden ser comunicadas a través del SII, en estricta conformidad con el artículo 2 de la Ley 2/2023. Esto incluye:
  • Acciones u omisiones que puedan constituir infracciones del Derecho de la Unión Europea (mencionadas en la Directiva).
  • Infracciones penales o administrativas graves o muy graves, según la normativa española.
  • Ejemplos concretos de infracciones internas que la entidad considera críticas.
La Política debe también diferenciar claramente el SII de otros canales de comunicación ordinaria (ej. quejas sobre servicios o cuestiones laborales internas sin carácter de infracción).

2.3. Compromiso de la Dirección

El éxito del SII depende del compromiso explícito y visible de la alta dirección. La Política del SII es el vehículo principal para articular este compromiso, que debe ir más allá de la mera firma. El documento debe reflejar:
  • Respaldo Jerárquico: La Dirección se compromete a dotar al SII de los recursos humanos, técnicos y económicos suficientes para su correcto funcionamiento, garantizando su autonomía e independencia.
  • Liderazgo Ético: Declaración de que la entidad no tolerará ninguna forma de infracción, corrupción o fraude, y que el cumplimiento ético es un criterio de evaluación para todo el personal, incluyendo la dirección.
  • Garantía de Independencia: Compromiso de que la persona o el órgano responsable de la gestión del SII (Responsable del Sistema) actuará con plena autonomía y sin injerencia alguna de la dirección o de otros órganos internos en la tramitación de las comunicaciones.
  • Transparencia Activa: Compromiso de comunicar periódicamente al órgano de administración sobre el funcionamiento, las estadísticas (anonimizadas) y las mejoras introducidas en el SII, demostrando la seriedad con que se toma el sistema.
Este apartado es necesario, ya que establece el tone at the top, asegurando al personal que la ética y la transparencia no son únicamente un ejercicio teórico, sino una prioridad práctica y evaluable para los líderes de la organización.

2.4. Prohibición Expresa de Represalias: El Núcleo de la Protección

El elemento más disuasorio y que más debe ser desarrollado en la Política es la prohibición expresa y absoluta de represalias. La Ley 2/2023 define represalia como todo acto u omisión directa o indirecta que cause o pueda causar un perjuicio injustificado a las personas informantes o a su entorno, y que esté motivado por la realización de la comunicación.

La Política debe abordar este punto con la máxima extensión y detalle para generar confianza:

A. Definición y Alcance de las Represalias

La Política debe ir más allá de los ejemplos obvios (despido, denegación de ascenso) y enumerar ejemplos de represalias que la entidad prohíbe:
  • Laborales: Modificaciones sustanciales de las condiciones de trabajo, traslado forzoso, no renovación de contratos temporales, evaluaciones de desempeño negativas inmerecidas, imposición de medidas disciplinarias injustificadas.
  • Personales y Profesionales: Mobbing o acoso, difamación, discriminación, daño a la reputación o imagen profesional, inclusión en listas negras.
  • Económicas: Retención de pagos, aplicación de sanciones financieras.
B. Mecanismos de Prevención y Garantía

La Política debe detallar las acciones proactivas de la entidad para garantizar la ausencia de represalias:
  • Inversión de la Carga de la Prueba: Se debe informar a las personas usuarias que la Ley establece la presunción de que cualquier acción perjudicial contra la persona informante dentro de los dos años siguientes a la comunicación es una represalia, obligando a la entidad a probar que la acción se basó en motivos legítimos y no vinculados a la denuncia. Este principio debe ser visible en la Política.
  • Medidas de Apoyo: La Política puede incluir un compromiso para ofrecer apoyo a las personas informantes, como asesoramiento legal o psicológico, si fuera necesario y conforme a los recursos disponibles de la entidad.
  • Protección de la Identidad: Compromiso explícito de que la identidad de la persona informante solamente podrá ser comunicada a la autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente cuando lo requiera la Ley.
C. Régimen Disciplinario y Sancionador

La Política debe establecer que la comisión de actos de represalia será considerada una infracción muy grave dentro del régimen interno disciplinario de la entidad, pudiendo conllevar las máximas sanciones legalmente previstas, incluido el despido disciplinario, sin perjuicio de las responsabilidades civiles o penales a las que hubiera lugar.

La claridad en la severidad de las consecuencias para quienes cometan represalias es un factor de disuasión que refuerza la credibilidad del SII.

2.5. La Perspectiva Inclusiva y la Accesibilidad

Dada la obligatoriedad de utilizar lenguaje inclusivo, la Política debe redactarse respetando la diversidad de género y expresión (persona informante, personal empleado, la ciudadanía), y garantizar la accesibilidad universal del documento.
  • Lenguaje Claro y Sencillo (Plain Language): El texto debe evitar la jerga legal excesivamente compleja, asegurando que cualquier persona, independientemente de su formación o posición, pueda comprender sus derechos y las obligaciones de la entidad.
  • Formatos Accesibles: La Política, aunque es un documento formal, debe estar disponible en formatos que faciliten su consulta (ej. versión digital fácilmente navegable, impresión con letra legible, traducción a idiomas cooficiales si la entidad opera en dichas comunidades).
3. Integración y Coherencia Normativa

La Política del SII no puede ser un documento aislado. Debe ser la intersección de varios marcos normativos y éticos de la entidad:
  • Conexión con el Código de Conducta: Debe remitir y complementar al Código de Conducta o de Ética de la organización, sirviendo como el mecanismo de aplicación y supervisión del mismo. El Código define qué es inaceptable; la Política del SII define cómo se reporta esa inaceptabilidad.
  • Compliance Penal: La existencia de un SII robusto y una Política de apoyo explícito es un elemento clave de diligencia debida que mitiga el riesgo penal de la persona jurídica (art. 31 bis del Código Penal).
4. Ejemplo de Política del SII

[Nombre de la Entidad/Organización]

INTRODUCCIÓN Y COMPROMISO DE LA DIRECCIÓN

[Nombre de la Entidad] (en adelante, “la Entidad”) se compromete de forma absoluta e ineludible con los principios de integridad, transparencia, ética y cumplimiento normativo (Compliance). La lucha contra la corrupción, el fraude y cualquier infracción de la legalidad es una prioridad estratégica y una responsabilidad compartida por todo el personal.

Esta Política, aprobada por el Consejo de Administración/Órgano de Gobierno, constituye la manifestación formal e inequívoca del Compromiso de la Dirección con la implementación y el funcionamiento eficaz de un Sistema Interno de Información (SII), también conocido como Canal de Denuncias.

El SII es la herramienta para detectar y prevenir de forma temprana las infracciones y para garantizar que todas las personas que informen sobre ellas puedan hacerlo en un entorno seguro y de total confianza, sin temor a represalias de ningún tipo.

I. OBJETIVOS DE LA POLÍTICA Y DEL SII

Los objetivos de esta Política son:
  • Formalizar el Compromiso Ético: Declarar la voluntad de la Entidad de operar bajo los más altos estándares de integridad y tolerancia cero frente a cualquier acto de corrupción o fraude.
  • Establecer un Canal Seguro: Proporcionar un cauce interno seguro, confidencial y accesible para comunicar, de buena fe, hechos o conductas que puedan constituir infracciones normativas.
  • Garantizar la Protección Total: Asegurar la máxima protección legal y operativa a las personas informantes contra cualquier forma de represalia, discriminación o trato injusto, en cumplimiento estricto de la Ley 2/2023.
  • Promover la Cultura de Integridad: Fomentar una cultura corporativa donde el cumplimiento normativo sea un valor fundamental y donde informar sobre infracciones se considere un acto de lealtad y responsabilidad hacia la Entidad y la sociedad.
II. ÁMBITO DE APLICACIÓN

Esta Política es de aplicación obligatoria para la Entidad y para todas las personas relacionadas con ella, tanto a nivel subjetivo como objetivo.

II.1. Ámbito Subjetivo (Personas Protegidas)

El SII y las garantías de protección de esta Política se extienden a cualquier persona que, en un contexto laboral o profesional, comunique información sobre infracciones. Esto incluye, a título enunciativo y no limitativo:
  • Personal empleado, incluidos directivos y directivas.
  • Personas trabajadoras por cuenta propia (autónomos/as) que presten servicios.
  • Accionistas, partícipes o personas pertenecientes al órgano de administración o dirección.
  • Personas proveedoras, contratistas, subcontratistas y el personal bajo su supervisión.
  • Personas que hayan finalizado su relación profesional con la Entidad.
  • Candidatos/as a puestos de trabajo que obtengan información precontractual.
  • Personas del entorno de la informante (familiares, amistades...) que puedan sufrir represalias por asociación.
II.2. Ámbito Objetivo (Materia de la Comunicación)

Se pueden comunicar a través del SII aquellas infracciones que entran en el ámbito de aplicación de la Ley 2/2023, incluyendo:
  • Infracciones penales y administrativas graves o muy graves.
  • Acciones u omisiones que puedan constituir infracciones del Derecho de la Unión Europea.
  • Infracciones graves del Código de Conducta de la Entidad o de las políticas internas de compliance que afecten al interés público o a la Entidad (ej. fraude financiero, corrupción, blanqueo de capitales, conflictos de interés graves, acoso laboral o sexual).
III. PRINCIPIOS DE FUNCIONAMIENTO DEL SII

El Sistema Interno de Información se regirá por los siguientes principios fundamentales:
  • Independencia y Autonomía: La gestión del SII recae en el/la Responsable del Sistema Interno de Información (en adelante, R.S.I.I.), designado/a por el Órgano de Gobierno. El R.S.I.I. actuará con total independencia y autonomía de la alta dirección en la recepción, tramitación e investigación de las comunicaciones.
  • Confidencialidad: Se garantiza la confidencialidad de la identidad de la persona informante y de cualquier persona mencionada en la comunicación, así como de la información en general. El acceso a la identidad se limitará estrictamente al R.S.I.I. y al personal autorizado por este.
  • Diligencia en la Tramitación: La Entidad se compromete a tramitar y responder a las comunicaciones con la máxima diligencia. Se acusará recibo de la comunicación en un plazo máximo de siete (7) días naturales y se dará respuesta a la persona informante en un plazo máximo de tres (3) meses desde el acuse de recibo.
  • Principio de Buena Fe: Las comunicaciones deberán realizarse siempre de buena fe, con la convicción razonable de que la información reportada es veraz en el momento de la comunicación.
  • Derecho a No Informar: La Entidad garantiza que no existirá penalización ni represalia alguna para las personas que decidan no informar.
IV. PROHIBICIÓN EXPRESA Y ABSOLUTA DE REPRESALIAS

La Entidad prohíbe de forma expresa y absoluta cualquier acto de represalia o amenaza de represalia, directa o indirecta, contra las personas informantes que hayan actuado de buena fe.

IV.1. Definición y Ejemplos de Represalias Prohibidas

Se considera represalia cualquier acción u omisión perjudicial, ya sea laboral, profesional o económica, que esté motivada por el hecho de haber realizado una comunicación a través del SII. Esto incluye, sin limitación:
  • Despido, extinción de contrato o no renovación (incluidos los temporales).
  • Movilidad geográfica, traslado forzoso o modificaciones sustanciales de las condiciones de trabajo.
  • Evaluaciones de desempeño negativas inmerecidas, denegación de ascensos, promociones o formación.
  • Acoso laboral (mobbing), trato desfavorable o discriminación de cualquier tipo.
  • Daño a la reputación o inclusión en listas negras.
  • Imposición o modificación injustificada de medidas disciplinarias.
IV.2. Presunción de Represalia

En cumplimiento de la Ley 2/2023, la Entidad reconoce el principio de inversión de la carga de la prueba. Toda acción perjudicial que se produzca en el plazo de dos (2) años tras la comunicación se presumirá como represalia, salvo prueba en contrario aportada por la Entidad, que deberá demostrar que la acción se basó en motivos legítimos, no relacionados con la denuncia.

V. MECANISMOS DE PROTECCIÓN Y RÉGIMEN DISCIPLINARIO

V.1. Medidas de Apoyo al Informante

La Entidad pondrá a disposición de la persona informante, si fuera necesario, información sobre los mecanismos de apoyo disponibles, incluyendo la posibilidad de solicitar medidas de protección ante la Autoridad Independiente de Protección del Informante (A.I.P.I.).

V.2. Sanciones por Incumplimiento o Represalia
  • Represalias o Discriminación: La comisión de un acto de represalia o la vulneración de la confidencialidad de la persona informante se considerará una infracción interna muy grave que dará lugar a la aplicación de las máximas sanciones disciplinarias legalmente establecidas, incluido el despido disciplinario, sin perjuicio de las acciones civiles o penales a que hubiera lugar.
  • Mala Fe: La comunicación de hechos a sabiendas de su falsedad (mala fe o abuso de derecho) también se considerará una infracción interna muy grave y dará lugar a las acciones disciplinarias correspondientes, ya que perjudica la credibilidad y eficacia del SII.
VI. VIGENCIA Y DIFUSIÓN

Esta Política entra en vigor en la fecha de su aprobación por el Órgano de Gobierno.

Se garantizará la máxima difusión de esta Política a través de canales internos de comunicación, intranet, y se incluirá en los programas de formación y acogida, asegurando que todas las personas del ámbito subjetivo de aplicación tengan un conocimiento completo de sus derechos, obligaciones y de las garantías ofrecidas por el SII.

Aprobado por el [Órgano de Gobierno/Consejo de Administración]

Fecha de Aprobación: [Día de Mes de Año]

5. Conclusión: La Política como Instrumento de Confianza

La elaboración de la Política del Sistema Interno de Información, en el marco de la Ley 2/2023, es una tarea que requiere precisión legal, rigor ético y un profundo sentido estratégico. 

El documento final es mucho más que una lista de requisitos; es una manifestación pública de la madurez ética de la organización.

Al desarrollar exhaustivamente los objetivos del sistema, definir su amplio ámbito de aplicación, proclamar el compromiso de la dirección, y, sobre todo, establecer un blindaje legal y procedimental contra cualquier tipo de represalia, la entidad transforma la obligación legal en una oportunidad de negocio y de fortalecimiento de la reputación. 

La Política se convierte en la principal herramienta de confianza para la persona informante, demostrando que la entidad valora la verdad por encima del encubrimiento y que la valentía de informar será protegida con el máximo celo. 

Solamente a través de una Política robusta y visible se puede asegurar que el SII cumpla su promesa: ser el primer y más eficaz dique de contención contra el fraude y la corrupción.

6. Referencias

Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Boletín Oficial del Estado, núm. 44, de 21 de febrero de 2023.

Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Diario Oficial de la Unión Europea L 305, de 26 de noviembre de 2019.

Código Penal Español, Ley Orgánica 10/1995, de 23 de noviembre. Art. 31 bis.