 |
| Fuente de la imagen: mvc archivo propio |
Resumen: La Ley española 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, impone a las organizaciones la obligación de establecer un Sistema Interno de Información (SII) o Canal de Denuncias. Dentro del ciclo de vida del SII, la Fase 5: Gestión y Mejora Continua (Operación) exige rigor en la Conservación de Registros. Se analiza la obligación del Responsable del Sistema Interno de Información (RSII) de mantener un Libro-Registro de Informaciones, subrayando la máxima confidencialidad y el acceso restringido a este responsable. Se desarrolla la importancia de registrar la información recibida, investigada y archivada como un requisito legal indispensable para el accountability (rendición de cuentas) y contrafuerte para la trazabilidad, la defensa jurídica y la mejora continua del sistema ético y de cumplimiento normativo de la organización. La correcta gestión y conservación del registro es clave para proteger a la persona informante y a la persona afectada, garantizando el respeto al RGPD (Reglamento General de Protección de Datos) y el principio de presunción de inocencia.
Palabras Clave: Ley 2/2023, Sistema Interno de Información (SII), Canal de Denuncias, Responsable del SII (RSII), Conservación de Registros, Libro-Registro de Informaciones, Confidencialidad, Protección de Datos, Whistleblowing, Mejora Continua.
Abstract: Spanish Law 2/2023, of February 20, regulating the protection of whistleblowers and combating corruption, requires organizations to establish an Internal Information System (IIS) or Whistleblowing Channel. Within the IIS lifecycle, Phase 5: Management and Continuous Improvement (Operation) demands rigorous record keeping. This paper analyzes the obligation of the Internal Information System Manager (IIS Manager) to maintain an Information Logbook, emphasizing the utmost confidentiality and restricted access for this manager. This document highlights the importance of recording received, investigated, and archived information as an essential legal requirement for accountability and a cornerstone for traceability, legal defense, and the continuous improvement of the organization's ethical and regulatory compliance system. Proper management and preservation of records are key to protecting both the whistleblower and the affected individual, ensuring compliance with the GDPR (General Data Protection Regulation) and the principle of presumption of innocence.
Keywords: Law 2/2023, Internal Information System (IIS), Whistleblowing Channel, IIS Officer, Record Keeping, Information Logbook, Confidentiality, Data Protection, Whistleblowing, Continuous Improvement.
1. Introducción: El Marco Normativo y la Fase Operativa
La transposición de la Directiva (UE) 2019/1937, conocida como Directiva Whistleblowing, se materializa en el ordenamiento jurídico español a través de la Ley 2/2023.
La norma tiene un doble propósito: ofrecer una protección efectiva a las personas informantes contra represalias y fortalecer la cultura de integridad y lucha contra la corrupción en las organizaciones.
El proceso de implementación de un SII se estructura en fases, siendo la Fase 5: Gestión y Mejora Continua (Operación) la etapa donde se ejecutan los procedimientos diseñados.
Esta fase implica una gestión dinámica y un compromiso constante con la eficacia y la mejora.
Uno de los requisitos operativos más críticos y sensibles, por su implicación en materia de legalidad y protección de datos, es la Conservación de Registros de las informaciones recibidas.
El mantenimiento de un registro documental completo y seguro de todas las actuaciones es necesario para demostrar el cumplimiento con los procedimientos establecidos, un concepto de accountability en el derecho de cumplimiento normativo.
2. La Obligación del Libro-Registro de Informaciones: Fundamento Legal y Propósito
Se establece claramente la obligación de mantener un Libro-Registro de Informaciones. Este registro es una evidencia documental de la actividad del SII, integrándose como un elemento del sistema de trazabilidad y gestión de la integridad.
2.1. Naturaleza y Contenido del Registro
El Libro-Registro debe recoger toda la información relativa a cada comunicación o denuncia recibida, desde su entrada hasta su archivo o remisión a la autoridad competente. Deberá incluir:
- Información Recibida: Fecha de entrada, descripción de los hechos o infracción comunicada.
- Investigación Realizada: Las diligencias de investigación o comprobación iniciadas, las personas implicadas (informantes —si no se mantiene el anonimato— y afectadas), las fechas clave de la tramitación y las conclusiones provisionales.
- Decisión y Archivo: El resultado de la investigación (archivo de las actuaciones, remisión al Ministerio Fiscal o a otra autoridad, imposición de medidas disciplinarias, etc.) y la fecha del archivo o finalización del expediente.
La documentación debe ser suficiente para reconstruir el proceso completo de gestión de la información, permitiendo a la organización, y en su caso a las autoridades supervisoras, verificar la correcta aplicación del procedimiento interno.
2.2. Conservación y Plazos
En línea con el RGPD y la legislación penal, se impone un plazo de conservación máximo para los datos personales de las informaciones que no prosperen. Si la información no es objeto de investigación o si esta no resulta en una acción formal (penal, administrativa, laboral), la documentación deberá conservarse solamente durante el período indispensable y proporcionado a la finalidad.
La conservación no implica un almacenamiento indefinido; por el contrario, exige un control riguroso y una revisión periódica para proceder a la supresión de los datos que ya no sean necesarios, con la excepción de aquellos casos donde la ley exija su conservación por un período superior (p.ej., remisión a la Fiscalía).
La documentación que refleje únicamente la gestión y resolución del expediente, sin datos personales identificativos del informante o la persona afectada, podrá conservarse por más tiempo con fines de mejora continua y auditoría interna.
3. Confidencialidad y Acceso Restringido: El Papel Exclusivo del RSII
El principio de máxima confidencialidad es un deseo y un mandato legal que vertebra la eficacia del SII. La protección de la identidad de la persona informante es la clave para infundir confianza en el sistema y asegurar la afluencia de comunicaciones.
Se especifica que "la identidad de los informantes ... será en todo caso reservada y no será comunicada a las personas afectadas por la comunicación". Esta exigencia se traslada directamente al Libro-Registro, que contiene los datos más sensibles del proceso.
3.1. Acceso Exclusivo al RSII
Se establece que solamente el Responsable del Sistema Interno de Información (RSII), o la persona o personas que este designe expresamente para la tramitación, tendrá acceso a la información confidencial contenida en el Libro-Registro. Este es un principio de "necesidad de conocer" o need-to-know llevado a su máxima expresión.
- Garantía de Independencia: La restricción de acceso al RSII (y a su equipo de tramitación) subraya la independencia y autonomía del responsable, blindando el proceso de influencias externas e internas.
- Cumplimiento del RGPD: El RSII actúa como la figura clave en la gestión del tratamiento de los datos personales (incluidos los del informante, si no es anónimo, y de la persona afectada), debiendo aplicar medidas técnicas y organizativas rigurosas para garantizar la seguridad y la confidencialidad de la información. La limitación del acceso es una de las medidas técnicas de seguridad más eficaces.
El incumplimiento de la obligación de confidencialidad por parte de cualquier persona que acceda al registro puede acarrear graves consecuencias, incluyendo responsabilidades disciplinarias, contractuales y sanciones derivadas de la propia Ley 2/2023 o de la normativa de protección de datos (RGPD).
3.2. Mecanismos de Seguridad y Trazabilidad
Para cumplir con la máxima confidencialidad, el Libro-Registro debe ser gestionado a través de plataformas tecnológicas seguras que incorporen:
- Cifrado de Datos: La información sensible debe estar cifrada para impedir el acceso no autorizado.
- Control de Acceso Riguroso: Mecanismos de autenticación robustos que permitan el acceso únicamente al RSII y su equipo autorizado.
- Registro de Acciones (Logs): Un sistema que registre automáticamente quién, cuándo y por qué accede, modifica o elimina cualquier parte del registro. Esta trazabilidad es para la auditoría y para la detección de posibles accesos indebidos.
El uso de un registro electrónico es la práctica recomendada, ya que facilita el cumplimiento de estos requisitos de seguridad y de los plazos de conservación mediante la automatización de los procesos de borrado o anonimización.
4. La Conservación de Registros como Elemento de Mejora Continua (Fase 5)
En el marco de la Fase 5: Gestión y Mejora Continua, el Libro-Registro es un documento de cumplimiento y una herramienta estratégica para la mejora del SII.
4.1. Auditoría y Evaluación del Desempeño
El registro anonimizado de casos permite al RSII y al órgano de gobierno evaluar la eficacia y eficiencia del sistema. Se pueden extraer métricas de desempeño como:
- Número total de informaciones recibidas por año.
- Tiempo medio de tramitación de las informaciones.
- Porcentaje de informaciones archivadas versus investigadas.
- Tipología de infracciones más frecuentes.
Estos datos, tratados de forma agregada y anónima, son necesarios para identificar debilidades en los controles internos de la organización o en el propio procedimiento del SII.
Si el registro muestra una alta tasa de denuncias sobre un área específica, por ejemplo, esto indica la necesidad de reforzar la formación o los procedimientos en esa materia.
4.2. Base para la Revisión de la Política del SII
Se exige la revisión periódica de la Política del Sistema Interno de Información. El análisis de los patrones de las comunicaciones registrados en el Libro-Registro debe ser la base empírica para esta revisión.
Si el registro muestra que las comunicaciones anónimas son las predominantes, por ejemplo, esto podría sugerir la necesidad de comunicar mejor las garantías de protección al informante, o de optimizar el canal para facilitar la comunicación.
La mejora continua se alimenta de la evidencia que proporciona el Libro-Registro.
5. Conclusiones
La Conservación de Registros en el Plan de Implantación del SII, en el marco de la Fase 5: Gestión y Mejora Continua, representa una función transversal que va más allá de la mera obligación formal.
La exigencia de un Libro-Registro de Informaciones gestionado por el RSII y bajo máxima confidencialidad es el mecanismo que garantiza la trazabilidad, la seguridad jurídica y el respeto a los derechos fundamentales (presunción de inocencia y protección de datos).
Un registro riguroso, completo y adecuadamente protegido asegura:
- Cumplimiento Legal: Demostrando ante las autoridades la diligencia debida en la gestión de las informaciones.
- Protección de Derechos: Asegurando que la identidad de la persona informante y la persona afectada se trate bajo el estricto principio de need-to-know.
- Mejora Estratégica: Aportando los datos necesarios, anonimizados y agregados, para la evaluación periódica y la optimización continua de los controles internos y del propio SII.
La inversión en la implementación de herramientas tecnológicas seguras y la formación del RSII en la gestión de este registro son vitales para transformar el Canal de Denuncias, de una obligación a un activo estratégico de integridad y buen gobierno corporativo.
6. Referencias
Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Boletín Oficial del Estado, núm. 44, de 21 de febrero de 2023.
(UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Diario Oficial de la Unión Europea, L 305/17.
Agencia Española de Protección de Datos (AEPD). (2019). Guía sobre el tratamiento de denuncias y la gestión de investigaciones internas.