En diciembre se cumple un año de la obligatoriedad de tener un canal de denuncias en muchas organizaciones, las de más de 49 empleados y muchas otras que por temas de blanqueo de capitales o cumplimiento normativo también están obligadas. En el último trimestre del 2023, muchas empresas corrieron para implementar su canal. Muchos proveedores facilitaron diferentes soluciones para dar respuesta a la necesidades que planteaba la Ley 2/2023 de protección del informante de disponer de un canal interno de comunicaciones o canal de denuncias. Muchas empresas no lo tienen todavía implementado, pero hay muchas otras que si lo tienen, pero con algunas carencias respecto a lo que dice la Ley. Sabes si ¿Cumple con la ley el canal de denuncias que tienes implementado? En este post te damos algunas pistas.
A continuación destacamos los puntos que creemos más importantes que debe tener en cuenta un canal para cumplir, estrictamente, con los requisitos de la ley.
Garantizar la confidencialidad del proceso
Vulnerar las garantías de confidencialidad y anonimato previstas en la ley, y de forma particular cualquier acción u omisión tendente a revelar la identidad del informante cuando este haya optado por el anonimato o el incumplimiento de la obligación de disponer de un Sistema interno de información en los términos exigidos por la ley, se consideran infracciones muy grave. En el régimen sancionador, se indica que las infracciones muy graves tienen una sanción de entre 600.001 y 1.000.000 de euros.
¿Se puede garantizar la confidencialidad de una comunicación con un correo electrónico? Esto, cuanto menos, es cuestionable. Y no solo la recepción vía correo, si no todo el proceso de gestión de la comunicación vía el correo electrónico. Por tanto, es totalmente desaconsejable utilizar un correo electrónico. Como ejemplo, la Agencia de Protección de Datos, que podemos considerar un referente para estos tratamientos, eliminó la vía del correo electrónico y la sustituyó por una plataforma online de canal de denuncias.
Pero también hay que ir con cuidado con la propia gestión del canal. Si se tiene externalizado el canal, que es una buena estrategia para evitar la posible manipulación de la información, es muy importante asegurar las garantías que nos da el proveedor. Habría que asegurar que el proveedor de la plataforma tecnológica tiene una certificación ISO27001 o un ENS de nivel medio. Y es el proveedor de la plataforma, no solo sirve que los servidores estén en un data center homologado.
Finalmente hay que ir con cuidado con los sistemas externos que se integran en el propio canal de denuncias. Por ejemplo, no deberías nunca linkar desde el canal de denuncias a una página propia o de un tercero externa al canal. Es muy posible que ese link externo pueda ser monitorizado por una herramienta de analítica o similar, con lo que no se garantizaría la confidencialidad. Por tanto, en ningún caso debería haber integración con Google Analytics o similar y tampoco debería apuntarse a un protocolo o procedimiento fuera del propio canal. Comentamos estos puntos, por que pasa en varias soluciones de amplia difusión.
Posibilidad de denuncias anónimas
La ley indica que vulnerar las garantías de anonimato previstas en la ley, se consideran infracciones muy grave. Como ya hemos indicado, las infracciones muy graves tienen una sanción de entre 600.001 y 1.000.000 de euros.
Aquí aparece otra incompatibilidad si se propone un canal por email o un formulario donde hay campos obligatorios para identificar al denunciante. Las soluciones digitales de canal de denuncias facilitan y automatizan esta necesidad, facilitando un código de seguimiento que permite al denunciante realizar un seguimiento, incluso de forma anónima, así como poder intercambiar información entre el denunciante y los investigadores.
Comunicar el protocolo del canal
La ley en el artículo 5/h dice: que la organización deberá contar con una política o estrategia que enuncie los principios generales en materia de Sistemas interno de información y defensa del informante y que sea debidamente publicitada en el seno de la entidad u organismo. Por tanto, es recomendable publicar en el propio canal esta política. Si no la tienes, aquí os indicamos que consideramos que debería tener la misma.
¿Has comunicado a las autoridades quién es el responsable del sistema interno de información?
Otra de las obligaciones que nos indica la ley, es el deber de comunicar el responsable del sistema interno de información. Este punto, a noviembre de 2024 aun es conflictivo. Si bien en comunidades como en Cataluña, ya existe un formulario para realizar la comunicación, en el resto del país estamos pendientes de la creación de la Autoridad Independiente del Informante que deberá entre sus funciones registrar las altas y bajas de los responsables del sistema interno de información.
¿Cumple con la ley el canal de denuncias que tienes implementado?
En este artículo hemos repasado los puntos típicos que nos encontramos en las diferentes soluciones implementadas en las empresas. Son pequeñas cosas, pero es importante cumplirlas todas para evitar posibles sanciones en el futuro. Los puntos fundamentales son:
- Tener y comunicar el protocolo del canal. Aquí os dejamos algunos de ejemplo.
- Comunicar el responsable del sistema de información. Mientras no esté constituida la A.I.I. en algunas comunidades está establecido el mecanismo.
- No se recomienda utilizar el correo electrónico ni plataformas generalistas de generación de formularios que no gestionan correctamente las políticas de protección de datos.
- Asegurar que el proveedor del canal tiene una certificación ISO27001 o ENS.
- Vigilar que no realizamos directa o indirectamente seguimiento del denunciante, ya sea vía cookies de terceros, IP’s o llevando al denunciante a webs donde si se puede hacer el seguimiento.
Si después de leer este post, no tienes si cumple con la ley el canal de denuncias que tienes implementado en tú organización, hemos preparado un formulario para ayudarte a validarlo de forma gratuita. Puedes indicarnos desde aquí que quieres que lo validemos y un especialista te dará algunas recomendaciones.