Novedades legislativas

Procedimiento para notificar el responsable del SII a la OAAF

Con la promulgación de la Ley 2/2021, de 18 de junio, y la creación de la OAAF, Oficina Andaluza contra el #Fraude y la #Corrupción,el Parlamento andaluz se anticipó a la trasposición de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, que se incorporó posteriormente al ordenamiento jurídico español mediante la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

La OAAF, Oficina Andaluza contra el Fraude y la Corrupción crea el «Registro de Responsables del Sistema Interno de Información (RRSII)», en el que se anotarán los nombramientos, así como los ceses de dichos responsables, debiéndose llevar una gestión actualizada de todos los datos. Accede al formulario de registro aquí .

Aquí puedes consultar la Resolución de 12 de junio de 2023, de la OAAF , por la que se crea el Registro de Responsables del Sistema Interno de Información y se regula su funcionamiento.

Consulta aquí la Resolución

Procedimiento para notificar el responsable del SII a la OAAF Leer más »

Foro Compliance Granada organizado por EBÍSUM

Con motivo de la entrada en vigor de la nueva Ley 2/2023, de 20 de febrero, en EBÍSUM tenemos el placer de invitaros al Foro Compliance Granada que tendrá lugar el próximo 25 de mayo en el Ilustre Colegio de Abogados de Granada.

El tema a tratar será «Canales de denuncia e información de infracciones: claves de una Ley que nos concierne a todos, organizaciones y profesionales del derecho» y para ello contaremos con ponentes como el Director de la Oficina Andaluza contra el Fraude y la Corrupción, y el presidente de Blanqueo de capitales y Cumplimiento Normativo en el Colegio de Abogados de Granada.

Consulta el programa e inscríbete aquí

Foro Compliance Granada organizado por EBÍSUM Leer más »

La Oficina Andaluza contra el Fraude y la Corrupción pone en marcha su Canal de Denuncias

La Oficina Andaluza contra el Fraude y la Corrupción ha creado y puesto en funcionamiento el canal externo de información o Canal de Denuncias para cumplir con la obligación establecida en la Ley 2/2021 de lucha contra el fraude y la corrupción en Andalucía y protección de la persona denunciante.

Desde Ebísum te explicamos la importancia de esta resolución y cómo afecta a la lucha contra el fraude y la corrupción en la región.

La Ley 2/2021 de lucha contra el fraude y la corrupción en Andalucía y protección de la persona denunciante tiene como objetivo garantizar la protección de las personas que informan sobre infracciones del Derecho de la Unión y luchar contra el fraude y la corrupción en la Comunidad Autónoma. Para cumplir con esta ley, se establece la obligación de contar con mecanismos, procedimientos y canales de denuncias, y de protección de la persona denunciante.

En este sentido, la resolución de la Oficina Andaluza contra el Fraude y la Corrupción es una medida importante para cumplir con esta obligación. La creación del Canal de Denuncias permitirá a las personas físicas informar ante las autoridades autonómicas competentes, en este caso la Oficina, de la comisión de cualquier acción u omisión incluida en el ámbito de aplicación de la ley. Además, se garantiza que la presentación de denuncias se realizará por medio de procedimientos y canales diseñados, establecidos y gestionados de una forma segura, de modo que se garantice la confidencialidad de la identidad de las personas denunciantes y de cualesquiera terceras personas mencionadas en la denuncia, protegiéndose también el acceso de personas no autorizadas a la información contenida en la denuncia.

Asimismo, se debe garantizar que, a través de estos procedimientos y canales, las personas denunciantes, puedan solicitar, en su caso, la concesión de los derechos previstos en el artículo 37 y las medidas de protección establecidas en el artículo 38 de la mencionada norma. En este sentido, la ley establece que las personas que informen sobre infracciones del Derecho de la Unión tendrán derecho a recibir información sobre el tratamiento que se da a su denuncia, así como a ser protegidas contra toda represalia o perjuicio como consecuencia de la denuncia realizada.

La creación del Canal de Denuncias permitirá a la Oficina Andaluza contra el Fraude y la Corrupción recibir información relevante sobre infracciones del Derecho de la Unión, lo que facilitará la lucha contra el fraude y la corrupción en la Comunidad Autónoma. Además, el canal de denuncias extiende su ámbito de aplicación al sector público andaluz, a las instituciones y órganos previstos en el Título IV del Estatuto de Autonomía para Andalucía, así como en aquellas otras entidades públicas que tengan la consideración de autoridades y organismos públicos en virtud de una norma.

En resumen, la creación del Canal de Denuncias de la Oficina Andaluza contra el Fraude y la Corrupción es una medida importante para combatir la corrupción y garantizar la transparencia en la gestión pública. La protección de los denunciantes y la garantía de la confidencialidad son elementos fundamentales en la lucha contra la corrupción y la promoción de la cultura de denuncia en la sociedad. Es importante que los ciudadanos tengan confianza en el sistema y que las autoridades tomen medidas para garantizar la transparencia y la honestidad en la gestión pública.

Si quieres leer la disposición completa, aquí te dejamos un enlace para que visites la publicación del BOJA: Boletín Oficial de la Junta de Andalucía – Oficina Andaluza contra el Fraude y la Corrupción.

La Oficina Andaluza contra el Fraude y la Corrupción pone en marcha su Canal de Denuncias Leer más »

Protección de datos personales en el Anteproyecto de Ley Whistleblowing

Ref.:      La protección de datos personales en el Anteproyecto de Ley reguladora de la protección de personas que informen sobre infracciones normativas y lucha contra la corrupción.

El Anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción por la que se transpone la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del derecho de la Unión (en adelante, el Anteproyecto) dedica, en su Título VI, un compendio de artículos destinados a regular el tratamiento de los datos personales concernientes a las comunicaciones interpuestas a través de los Sistemas de Información. Por esta razón, a continuación se exponen algunos de los aspectos más relevantes que hemos apreciado sobre esta materia:

  1. 1. Legislación aplicable

La regulación del tratamiento de los datos personales obtenidos a través de las actuaciones reguladas en el Anteproyecto quedarán sujetas a las estipulaciones previstas en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos (RGPD)) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (LOPDGDD).

A su vez, dicho tratamiento estará sujeto a la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

  1. 2. Legitimación del tratamiento de datos personales

Con carácter general, todo tratamiento de datos personales necesario para la aplicación del Anteproyecto será lícito. No obstante, la norma recoge una serie de matices que se desarrollan en la siguiente tabla:

Tabla 1. Licitud del tratamiento de datos personales

Licitud del tratamiento de datos personales

Fuente. Elaboración propia

  1. 3. Del deber de informar y el ejercicio de derechos

Los responsables del tratamiento deberán facilitar la información prevista en el artículo 13 del RGPD y 11 de la LOPDGDD, cuando los datos personales sean obtenidos directamente de los interesados.

Del mismo modo, deberán informar del ejercicio de derechos regulados en los artículos 15 a 22 del RGPD a los interesados. No obstante, atendiendo a la naturaleza de las actuaciones, en el caso del ejercicio del derecho de oposición se presumirá, salvo prueba en contrario, la existencia de motivos legítimos e imperiosos que requieran del tratamiento de los datos personales.

  1. 4. Acceso a los datos personales

Dentro del ejercicio de sus competencias y funciones, tendrán acceso a los datos personales concernientes a la gestión y tramitación del material proporcionado a través de los Sistemas de Información las siguientes figuras:

Ilustración 1. Cargos con acceso a los datos personales

Cargos con acceso a los datos personales

Fuente. Elaboración propia

  1. 5. Plazo de conservación de denuncias

El artículo 32.4 del Anteproyecto regula el plazo de conservación de las comunicaciones, indicando textualmente que transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a la supresión de los datos personales. Por otro lado, el artículo 24. 4 de la LOPDGDD recoge que transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias.

Partiendo de lo anterior, la Agencia Española de Protección de Datos (AEPD) entiende que el artículo 24.4 de la LOPDGDD se refiere a que no podrán conservarse los datos personales en el propio sistema de información de denuncias internas tras transcurrir el plazo de tres meses desde que dichos datos fueron introducidos, sin perjuicio de que los mismos puedan pasar a integrarse a los sistemas propios de los órganos de cumplimiento o gestión de recursos humanos cuando la denuncia resulte fundada o sea necesario una investigación más precisa.

  1. 6. El Delegado de Protección de Datos

La figura del Delegado de Protección de Datos (DPD) será obligatoria para aquellas entidades que tengan el deber de disponer de un sistema interno de comunicaciones. Así como, para los terceros externos que, en su caso, gestionen dichas comunicaciones cuando no tuvieran obligación previa de designar a un DPD.

  1. 7. Conclusiones

En resumidas cuentas, para garantizar un correcto tratamiento de los datos personales obtenidos a través del uso de los Sistemas de Información no solo habrá que atender al articulado previsto en el Anteproyecto, sino que, también, será necesario cumplir con el resto de la normativa vigente en materia de protección de datos.

Ello supone que, para garantizar una información adecuada y suficiente a los interesados sobre el tratamiento de sus datos personales, deberán elaborarse e implantarse medidas que procuren la privacidad y confidencialidad de las partes implicadas en estos procesos.

Protección de datos personales en el Anteproyecto de Ley Whistleblowing Leer más »

Anteproyecto Ley Whistleblowing    

Anteproyecto Ley Whistleblowing    

Ref.: Anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción por la que se transpone la Directiva (UE) Whistleblowing  2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.

El presente artículo tiene por objeto comentar los principales aspectos del anteproyecto de Ley Whistleblowing que transpone la Directiva (UE) 2019/1937, de 23 de octubre de 2019, aprobado el pasado 3 de marzo y que regula la protección efectiva de los ciudadanos que informen sobre vulneraciones del ordenamiento jurídico:

https://www.mjusticia.gob.es/es/ministerio/gabinete-comunicacion/noticias-ministerio/ley-proteccion-informantes

  1. 1. Ámbito material de aplicación

La ley protege a las personas físicas que informen de:

  • (a) Acciones u omisiones que puedan constituir infracciones del Derecho de la Unión Europea siempre que entren dentro del ámbito de aplicación de los actos de la Unión enumerados en el Anexo de la Directiva (UE) 2019/1937.
  • (b) Acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave que afecten o menoscaben directamente el interés general, y no cuenten con una regulación específica.

Esta protección no será de aplicación a las informaciones que afecten a información clasificada o las que resulten de las obligaciones del deber de confidencialidad de médicos, abogados y FFCCSE.

  1. 2. Ámbito personal de aplicación

Se aplicará a aquellos informantes que trabajen en el sector público o privado (empleados públicos, trabajadores por cuenta ajena, autónomos, accionistas, administradores, directivos, etc.) y que comuniquen o revelen información sobre infracciones, ya sea en el marco de una relación laboral o estatutaria, con independencia de que exista remuneración o no, o de que haya comenzado o acabado la relación laboral.

  1. 3. Entidades obligadas

Las entidades obligadas pueden categorizarse de la siguiente manera:

(a) Sector privado:

    • – Personas físicas o jurídicas con 50 o más trabajadores contratados[1].
    • – Personas jurídicas que entren en el ámbito de aplicación de actos de la UE en materia de servicios, productos o mercados financieros, PBC/FT, seguridad del transporte y protección del medio ambiente.
    • – Personas jurídicas sin domicilio social en España, pero que desarrollen actividades aquí mediante sucursales o agentes.
    • Partidos políticos, sindicatos, patronales y fundaciones creadas por unos y otros y que reciban o gestionen fondos públicos.
    •  

(b) Sector público:

    • Administración Gral. Del Estado, CCAA y Administración Local[2].
    • – Los Organismos y Entidades públicas vinculadas o dependientes de alguna Administración pública[3].
    • – Las Autoridades Administrativas Independientes y las Entidades gestoras y Servicios comunes de la Seguridad Social.
    • – Las Universidades públicas.
    • – Las Corporaciones de Derecho público.
    • – Las fundaciones del sector público.
    • – Las sociedades mercantiles en cuyo capital social la participación, directa o indirecta, de entidades mencionadas anteriormente, sea superior al 50%.
    • – La Casa de Su Majestad el Rey, los órganos constitucionales e instituciones autonómicas análogas creadas por los correspondientes Estatutos de Autonomía.

  1. 4. ¿Cómo debe ser un sistema interno de información?

Debe permitir a las personas (ámbito personal) comunicar las infracciones cometidas en el ámbito material anteriormente descrito, garantizando la confidencialidad del informante y de las actuaciones que se desarrollen.

El sistema debe permitir las comunicaciones por escrito (correo postal o medio electrónico) y/o verbalmente (vía telefónica o mensajería de voz); a petición del informante podrá presentarse mediante reunión presencial (grabada e informando del tratamiento de datos).

Los canales de comunicación (internos y externos) deben permitir la presentación y tramitación de comunicaciones anónimas.

El sistema debe ser independiente y estar diferenciado del resto de sistemas internos de información, así como contar con políticas de información y defensa del informante y un procedimiento de gestión de comunicaciones recibidas.

Debe existir un responsable del sistema que desarrollará sus funciones de forma independiente y autónoma del resto de órganos de la organización.

Es posible la externalización de la gestión del sistema en un tercero siempre que se garantice la independencia, confidencialidad, protección de datos y el secreto, teniendo el tercero externo, la consideración de encargado del tratamiento a efectos de LOPD.

  1. 5. Procedimiento de gestión de comunicaciones

(a) Informante: Es necesario enviar acuse de recibo en el plazo de 7 días naturales siguientes a su recepción, informarle de las acciones u omisiones que se le atribuye, ser oído en cualquier momento, solicitarle información adicional

(b) Personas investigadas: Presunción de inocencia, derecho al honor y a ser oído.

(c) Duración: la investigación no podrá ser superior a 3 meses, salvo en casos de especial complejidad que podría llegar a los 6 meses.

(d) Se debe informar de forma clara y de manera accesible sobre los canales externos de las autoridades competentes, así como las vías de recurso y procedimientos de protección frente a represalias y la disponibilidad de asesoramiento confidencial.

(e) Los sujetos obligados deben contar con un libro registro de las comunicaciones e investigaciones realizadas.

  1. 6. Medidas de protección

Las medidas de apoyo serán prestadas por la Autoridad Independiente de Protección al Informante.

(a) Prohibición de represalias, incluidas amenazas y tentativas de represalias, no considerándose que se haya infringido restricción de revelación de información.

(b) Medidas de apoyo; información y asesoramiento integral accesible y gratuito, asistencia efectiva frente a represalias, apoyo financiero y psicológico (este último, tras valoración de la AIPI)

(c) Medidas de protección de las personas investigadas; presunción de inocencia, derecho de defensa y acceso al expediente, preservación de identidad y confidencialidad de los hechos y datos del procedimiento.

(d) Programas de clemencia, existe la posibilidad de eximir del cumplimiento de una sanción administrativa a la persona que informe de la existencia de una infracción administrativa, siempre que se den los siguientes requisitos:

  • – Haber cesado la infracción en el momento de la comunicación
  • – Haber cooperado plena, continua y diligentemente a lo largo de todo el procedimiento de investigación.
  • – Haber facilitado información veraz y relevante, medios de prueba o datos significativos para la acreditación de los hechos investigados, sin que haya procedido a la destrucción de estos o a su ocultación, ni revelado a terceros.
  • – Haber procedido a la reparación del daño causado que le sea imputable.

Si se cumple alguno de ellos únicamente podrá atenuarse la sanción.

  1. 7. Protección de datos personales

– Información a los interesados y ejercicio de sus derechos: además de la información establecida en el RGPD; se les informará de forma expresa, de que su identidad será en todo caso reservada, informándoles a su vez sobre los canales externos de información ante las autoridades competentes y, en su caso, ante las instituciones, órganos u organismos de la Unión Europea.

– Tratamiento de datos personales: únicamente tendrán acceso a los datos personales contenidos en los Sistemas internos de información, el responsable del Sistema y quien lo gestione directamente; el responsable de recursos humanos, cuando proceda la adopción de medidas disciplinarias contra un trabajador,  el responsable de los servicios jurídicos de la entidad u organismo, cuando proceda la adopción de medidas legales, los encargados del tratamiento de datos y en caso de existir, el Delegado de Protección de Datos.

– Los datos podrán conservarse en el sistema durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados, en todo caso, transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. En todo caso, no se pueden conservar por un período superior a 10 años.

  1. 8. Autoridad Independiente de Protección del Informante

Es el órgano encargado de cumplir con la presenta Ley, se trata de una autoridad administrativa dependiente del Ministerio de Justicia, y que cuenta con un canal externo de comunicaciones, donde comunicar la comisión de cualesquiera acciones u omisiones incluidas en el ámbito de aplicación de la ley, ya sea directamente o previa comunicación a través del correspondiente canal interno.

Aunque está pendiente aún de aprobar su estructura, organización y funcionamiento interno, la AIPI se compone, de un Presidente de la Autoridad y una Comisión Consultiva. Funciones:

  • Gestión del canal externo de comunicaciones.
  • Adopción de las medidas de protección al informante.
  • Participar en el proceso de elaboración de normas que afecten a su ámbito de competencias.
  • Tramitación de los procedimientos sancionadores e imposición de sanciones.

  1. 9. Régimen sancionador

El ejercicio de la potestad sancionadora corresponde a la Autoridad Independiente de Protección del Informante cuando las infracciones o el incumplimiento informado afecte o produzca sus efectos en el ámbito territorial de más de una comunidad autónoma.

El ejercicio de la potestad sancionadora corresponde a los órganos competentes de las Comunidades Autónomas cuando las infracciones sean cometidas en el ámbito del sector público autonómico y local del territorio de la correspondiente comunidad autónoma.

El importe de las sanciones puede llegar alcanzar el millón de euros para las personas jurídicas y de 300 mil euros para las personas físicas correspondientes a las infracciones muy graves (represalias, vulneración del deber de secreto, limitación de dchos. y garantías…), además se podrá acordar la amonestación pública, prohibición de obtener subvenciones (plazo máx. 4 años) y prohibición de contratar con el sector público (plazo máx. 3 años).

  1. 10. Plazo máximo para el establecimiento de sistemas internos de información y adaptación de los ya existentes

  • Las Administraciones, organismos, empresas y demás entidades obligadas a contar con un sistema interno de informaciones deberán implantarlo en el plazo máximo de tres meses a partir de la entrada en vigor de la Ley.
  • – En el caso de las entidades jurídicas del sector privado con menos de 249 trabajadores, el plazo previsto será hasta el 1 de enero de 2023.
  • Los canales y procedimientos de información externa existentes deberán adaptarse a las disposiciones a la Ley en el plazo máximo de seis meses a partir de su entrada en vigor.

  1. 11. Conclusiones

El anteproyecto de ley sigue la línea marcada por la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, destacando, debido al carácter específico de la materia, la creación de la Autoridad Independiente de Protección del Informante y su canal externo por medio del cual, cualquier persona física podrá informar de infracciones directamente o tras haber acudido al canal interno correspondiente. Esta autoridad también podrá tramitar las informaciones que se reciban a través de su canal interno que afecten al ámbito competencial de aquellas comunidades autónomas que así lo decidan y suscriban el correspondiente convenio, y aquellas otras que no prevean órganos propios para canalizar las informaciones externas.

[1] Las personas jurídicas del sector privado que tengan entre 50 y 249 trabajadores y que así lo decidan, podrán compartir entre sí el sistema interno de información y los recursos destinados a la gestión y tramitación de las comunicaciones, tanto si la gestión del sistema se lleva a cabo por la propia entidad como si se ha externalizado.

[2] Los municipios de menos de 10.000 habitantes, entre sí o con cualesquiera otras Administraciones públicas que se ubiquen dentro del territorio de la comunidad autónoma, podrán compartir el sistema interno de información.

[3] Las entidades pertenecientes al sector público con personalidad jurídica propia vinculadas o dependientes de órganos de las Administraciones territoriales, y que cuenten con menos de 50 trabajadores, podrán compartir con la Administración de adscripción, el sistema interno de informació

Anteproyecto Ley Whistleblowing     Leer más »

Síguenos en:

Linkedin

Escríbenos a:

info@ebisum.com

Copyright ©2024Ebísum – All in one compliance | Powered by
Política de Privacidad | Aviso Legal | Política de Cookies | Política de Seguridad
Scroll al inicio