checklist

¿Cómo implementar un canal de denuncias que cumpla con la Ley 2/2023?

En este artículo vamos identificar los diferentes requisitos que debería tener un canal de denuncias para cumplir con la Ley 2/2023. Esta ley se entró en vigor en marzo de 2023 y obliga, entre otras cosas, a las organizaciones de 50 o más trabajadores a implementar un sistema interno de información. La ley 2/2023 no habla de canal de denuncias, habla de canal interno de información, para evitar referirse al concepto negativo de la “denuncia”. Nosotros a lo largo del post hablaremos indistintamente del canal de denuncias, canal ético o canal interno de información.

En el mercado se ha asociado la nueva ley a la necesidad de implantar un canal interno de información o canal de denuncias. La implantación del canal es un elemento necesario, pero no suficiente, para cumplir la ley. Para cumplir con la ley deberemos implementar un Sistema interno de información, que es un paraguas por encima del canal de comunicaciones.

En concreto el artículo 5, identifica todo lo que debemos hacer:

1. El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el responsable de la implantación del Sistema interno de información, previa consulta con la representación legal de las personas trabajadoras, y tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales.

2. El Sistema interno de información, en cualquiera de sus fórmulas de gestión, deberá:

a) Permitir a todas las personas referidas en el artículo 3 comunicar información sobre las infracciones previstas en el artículo 2.

b) Estar diseñado, establecido y gestionado de una forma segura, de modo que se garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, y de las actuaciones que se desarrollen en la gestión y tramitación de la misma, así como la protección de datos, impidiendo el acceso de personal no autorizado.

c) Permitir la presentación de comunicaciones por escrito o verbalmente, o de ambos modos.

d) Integrar los distintos canales internos de información que pudieran establecerse dentro de la entidad.

e) Garantizar que las comunicaciones presentadas puedan tratarse de manera efectiva dentro de la correspondiente entidad u organismo con el objetivo de que el primero en conocer la posible irregularidad sea la propia entidad u organismo.

f) Ser independientes y aparecer diferenciados respecto de los sistemas internos de información de otras entidades u organismos, sin perjuicio de lo establecido en los artículos 12 y 14.

g) Contar con un responsable del sistema en los términos previstos en el artículo 8.

h) Contar con una política o estrategia que enuncie los principios generales en materia de Sistemas interno de información y defensa del informante y que sea debidamente publicitada en el seno de la entidad u organismo.

i) Contar con un procedimiento de gestión de las informaciones recibidas.

j) Establecer las garantías para la protección de los informantes en el ámbito de la propia entidad u organismo, respetando, en todo caso, lo dispuesto en el artículo 9.

En resumen:

  • El órgano de administración deberá nombrar un Responsable del Sistema. Y lo deberá comunicar a la autoridad competente su nombramiento.
  • Implantar un canal de comunicaciones internas o denuncias que cumpla con los requisitos de seguridad, confidencialidad y protección de datos.
  • Establecer una política y un procedimiento de gestión.
  • Establecer las garantías de protección de denunciante.

¿Es correcto implementar un canal de comunicaciones con un email?

Hasta hace poco la mayoría de organizaciones que implementaban un canal de denuncias o comunicaciones lo hacían habilitando un correo electrónico, generalmente [email protected] o canalé[email protected]. De hecho, todavía son muchas las empresas que han decidido utilizar esta opción. Muchas veces, detrás del canal hay un abogado externo que gestiona el proceso.

La ley 2/2023 marca algunos requisitos que, claramente, desaconsejan el uso de un email como herramienta para implementar el canal. En concreto, es difícil garantizar el anonimato y la confidencialidad utilizando un correo electrónico, y realmente difícil poder intercambiar información de forma anónima con el denunciante.

¿Cómo implementar un canal de denuncias?

Descartada la opción del correo electrónico por difícilmente cumplir con los requisitos de confidencialidad y anonimato, tenemos dos opciones:

  1. Desarrollar a medida un formulario en la web. Aparentemente es la solución más sencilla y que típicamente implementa un desarrollador web de una empresa. Pero ojo, hay que tener en cuenta como gestionar correctamente el proceso para garantizar la confidencialidad y el anonimato.
  2. Implantar una solución cloud o saas con amplia implantación en el mercado. Es la solución más rápida y seguramente económica para cubrir la normativa. En la actualidad hay soluciones, como la nuestra, ithikios, que en pocos minutos puede estar totalmente configurada.

Recuerda, que para cumplir correctamente la ley deberás, además de implementar el canal de comunicaciones interna:

  1. Nombrar al responsable y comunicarlo a las autoridades. De momento, esto es obligatorio en Cataluña, en la Oficina Antifrau de Catalunya.
  2. Debes de crear un protocolo y un procedimiento del canal.
  3. Comunicar a los implicados la existencia del canal.

¿Algunos errores que deberíamos evitar?

Una vez te decidas a implementar el canal de denuncias, debes tener en cuenta algunos puntos que debe cumplir la solución que desees implantar:

  • Deberías ir con cuidado y no enviar a enlaces a tu web desde el canal. Algunos canales publican los protocolos, procedimientos o aceptación de protección de datos en su propia web corporativa, y esta, generalmente almacena información de las visitas como la IP. También es muy habitual que tenga integrado Google Analytics. Recuerda que la confidencialidad y el anonimato están en los requisitos de la ley y su incumplimiento tiene sanciones muy importantes.
  • Si subcontratas la solución a un tercero, para asegurar el cumplimiento de seguridad y confidencialidad deberías asegurar que el proveedor está certificado con la ISO27001 o la ENS. Cualquiera de las dos es válida, siendo la segunda la solicitada por la administración pública. Es importante que la empresa esté certificada, no solo los servidores donde se explota la información.
  • El canal debería de tener su propia cláusula de protección de datos, especialmente en aquellas denuncias que no sean anónimas.
  • El canal deberá facilitar un mecanismo de comunicación, incluso para las denuncias anónimas, que permita el intercambio de información entre el informante y la empresa.
  • Puede estar en el canal o en el sistema de información, pero debes de gestionar el registro con todas las comunicaciones recibidas.
  • Algunas soluciones extranjeras no están adaptadas a la ley española. Cuidado especialmente con los temas relativos a protección de datos, tiempos de conservación de las denuncias y eliminación de información requerida por la ley

¿Debemos tener la opción de recibir denuncias por voz?

Una de las preguntas que se plantean las empresas en el momento de implementar un canal de denuncias, es saber si deben aceptar denuncias por voz o solamente con aceptar denuncias por escrito es suficiente.

En este punto hay opiniones para todos los gustos. El artículo 7.2 punto dos dice textualmente “El canal interno deberá permitir realizar comunicaciones por escrito o verbalmente, o de las dos formas. La información se podrá realizar bien por escrito, a través de correo postal o a través de cualquier medio electrónico habilitado al efecto, o verbalmente, por vía telefónica o a través de sistema de mensajería de voz“. Para nosotros, queda claro que es un “o”, es decir que con ofrecer uno de las dos alternativas sería suficiente. La ley se basa en la directiva europea 2019/1937, si revisamos la misma, se puede ver claramente la diferenciación de este punto para los canales internos, los que tienen que implementar las empresas y el externo, que deben implementar autoridades asignadas. En esta directiva se puede ver el “o” en el canal interno y el “y” en el canal externo.

Eso no quiere decir, que en organizaciones donde el personal pueda tener dificultades para escribir, se pueda mejorar el servicio ofreciendo esta opción.

Desde ithikios, hemos implementado el módulo de voz como una opción. Es decir, es el propio cliente el que decide si quiere ofrecer o no este canal de comunicación.

¿Por qué no es conveniente implantar un canal de denuncias integrado con nuestra herramienta de rrhh?

Algunas plataformas de rrhh incorporan un canal de comunicaciones en su oferta integrada. Puede ser una opción económica, ya que en la actualidad algunas plataformas no cobran más por este servicio. Ahora bien, la información gestionada por el canal de denuncia debería tener un acceso muy restringido y estar en un entorno aislado para evitar que terceros puedan acceder a la información. En este sentido la ley de protección de datos es muy estricta sobre que y cuanto tiempo se puede gestionar en el canal de comunicaciones.

Ejemplo de canales de comunicación interna y de protocolos y procedimientos

Uno de los requisitos que indica la ley 2/2023 es que el canal debe publicarse en un primer nivel de la web de las organizaciones. Por tanto los canales son públicos y podemos ver los los competidores o de otras empresas de referencia como fuente de inspiración. No hace mucho analizamos los canales de las principales empresas del IBEX35, indicando los links tanto al canal, como aquellas que los publican el protocolo y el procedimiento del mismo.

Esperamos que este artículo os ayude a tener más claro cómo implementar un canal de denuncias o comunicaciones internas. En cualquier caso, desde ithikios, estaremos encantados en solventar cualquier duda que os pueda surgir.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.