Con la aprobación de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante, la “Ley de Protección del Informante” o “LPI”) se incorpora al Derecho español la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019. La LPI establece que pueden denunciarse las infracciones penales y administrativas graves y muy graves y, en todo caso, las que impliquen quebranto a la Hacienda Pública y a la Seguridad Social, así como cualesquiera acciones u omisiones que puedan constituir infracciones del derecho de la Unión Europea. Y, como novedad relevante, se establece que dicho régimen será aplicable tanto a las entidades privadas como públicas, con todo lo que ello supone.
En la nueva regulación, se establecen dos posibles sistemas de control: el sistema externo de información que corresponde a la Autoridad Independiente de Protección del Informante, y cuyo funcionamiento se apreciará mejor cuando se constituya efectivamente dicha Autoridad y se promulgue el correspondiente reglamento de desarrollo; y el sistema interno de información que, es el que la empresa puede poner en marcha, y que, sobre todo, las entidades públicas pueden tener especial interés en implantar a fin de favorecer la comunicación de este tipo de denuncias en aras a conseguir mayor transparencia en el desempeño de sus funciones. Pues bien, si la entidad en cuestión decide establecer este sistema de control interno deberá, en primer lugar, permitir a los informantes comunicar cualquier tipo de infracción penal y administrativa grave y muy grave; estar diseñado, establecido y gestionado de forma segura, de modo que garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, y de las actuaciones que se desarrollen en la gestión y tramitación de la misma, así como la protección de datos, poniendo los medios necesarios para impedir el acceso de personal no autorizado. Y, por último, habrá de permitir la presentación de comunicaciones por escrito o verbalmente, o de ambos modos. La implantación del sistema es responsabilidad del órgano de administración u órgano de gobierno de la entidad u organismo, quien deberá proporcionar la información adecuada de forma clara y fácilmente accesible, sobre el uso de todo canal interno de información, así como sobre los principios esenciales del procedimiento de gestión.
Es pronto para saber si las entidades y/o empresas van a decidirse por un sistema u otro de información. Ciertamente, es posible que las empresas dejen en manos de la Autoridad Independiente de Protección del Informante el control sobre las infracciones normativas en las que puedan incurrir en el desempeño de su labor. Sin embargo, lo que resulta evidente es que la nueva norma obliga a establecer fórmulas de protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, y que en el plano de las entidades públicas parece aconsejable que asuman dicho control a través de la implantación del sistema de información interno previsto en el Titulo II para evitar que pueda atribuírsele cualquier responsabilidad por no haber hecho lo posible para poner en marcha tales mecanismos de protección. Por lo tanto, habrá que estar atentos a dicha evaluación, y a la efectiva implantación de tales canales, porque de su adecuado establecimiento y control dependerá el éxito de la nueva regulación.
