Conoce Atico34 - Solicita presupuesto
Compliance

Sistema interno de información ¿Qué es y cómo implementarlo en la empresa?

La Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción establece la creación e implementación de un sistema interno de información para las empresas con 50 o más trabajadores. En este artículo vamos a explicar qué es este sistema interno de información y cómo implementarlo.

¿Qué es el sistema interno de información?

Si buscáis el concepto «sistema interno de información» en Google, obtendréis como resultados enlaces relacionados con la forma en que se gestionan los datos internos en una empresa para su gestión y toma de decisiones o cómo usar los datos externos de una empresa para mejorar esa gestión y toma de decisiones dentro de un contexto que trasciende a la compañía. Pero esos resultados no son la respuesta a la pregunta que planteamos aquí.

Existe un «nuevo significado» para sistema interno de información, este relacionado con el compliance y con la citada ley de protección de los denunciantes de corrupción (que por el momento es un Anteproyecto de ley); en este contexto, el sistema de información interno es el canal de denuncias de la empresa.

Este cambio de nombre en la futura ley española que transpondrá la Directiva Whistleblowing de la UE se debe principalmente a que en ella se habla de «informantes» y no «denunciantes» y de «comunicaciones» en vez de «denuncias» (ya que la denuncia como concepto jurídico en nuestro Derecho tiene ciertas consideraciones que aquí no aplican o aplican de forma diferente, como por ejemplo, el hecho de que la denuncia pueda ser anónima).

La Directiva Whistleblowing y la futura Ley de protección de los denunciantes de corrupción establecen la implementación de un canal de denuncias obligatorio en empresas con 50 o más trabajadores, así como para partidos políticos y sindicatos, patronales y fundaciones creadas por estos y que reciban o gestionen fondos públicos.

Actualmente, las empresas con un plan de compliance, sea este por obligación o voluntario (por ejemplo, la adopción de un plan de compliance tecnológico para garantizar el cumplimiento de la normativa en el proceso de digitalización de empresas), tendrán ya implementado un canal ético o canal de denuncias (por ejemplo, en empresas obligadas en materia de prevención del blanqueo de capitales). Estas empresas solo deberán preocuparse de que su sistema interno de información se ajuste a la futura normativa.

tarifas compliance

Pasos para implementar un sistema de información interno

En los siguientes puntos explicaremos los pasos para implementar un sistema interno de información para aquellas empresas que aún no tengan un plan de compliance o no dispongan de un canal de denuncias interno, de manera que puedan prepararse de cara a la entrada en vigor de la futura Ley de protección de los denunciantes de corrupción (puesto que según el Anteproyecto de ley, una vez publicada en el BOE, las empresas con 250 o más trabajadores dispondrán de 3 meses para adaptarse a la normativa, para el resto, entre 50 y 249 empleados, de entrar la ley en vigor en 2022, tendrían de plazo hasta el 1 enero de 2023).

Cabe señalar que la creación del canal de denuncias interno debe hacerse siempre previa consulta con la representación legal de los trabajadores.

Así mismo, la normativa también permite contratar un canal de denuncias externo, es decir, un canal de denuncias gestionado por un proveedor externo especializado (como puede ser una consultoría o un despacho de abogados).

Nombrar un responsable

Uno de los primeros pasos para la creación e implementación del sistema interno de información es el nombramiento de un responsable del mismo por parte del órgano de administración de la empresa.

El responsable del sistema interno de información puede ser una persona o un órgano colegiado, pero en ese caso, deberá delegar en uno de los miembros las facultades de gestión del sistema.

En cualquier caso, el responsable deberá ser un alto directivo de la empresa, que deberá asumir en exclusiva las funciones de este puesto y ejercerlas con total independencia del órgano de administración. En aquellas empresas donde esto no sea posible (bien por su naturaleza o por su tamaño), el puesto puede ser desempeñado por una persona que tenga otro cargo y funciones en la empresa.

También podrá asumir el cargo y funciones de responsable del sistema interno de información el Compliance Officer, si la empresa dispone de este profesional.

El nombramiento del responsable del sistema interno de información se deberá comunicar a la Autoridad Independiente de Protección del Informante (una entidad pública que todavía no existe, pero cuya creación ya está prevista en la futura ley). Los ceses de responsables también habrán de comunicarse a dicha Autoridad.

Decidir entre sistema interno o externo

El siguiente paso es decidir entre un sistema de información interno y externo, es decir, determinar si la gestión del canal de denuncias será interna, llevada a cabo por la propia empresa, o externa, puesto que la Directiva Whistleblowing y, por extensión, la futura Ley de protección de los denunciantes de corrupción, permiten que los canales de denuncia internos puedan ser gestionados de por un tercero externo.

Habitualmente, la gestión externa es un servicio que ofrecen consultorías o despachos de abogados y su función principal es recibir la denuncias del canal, estudiarlas, asesorar al denunciante y, en su caso, comunicar la denuncia al responsable del sistema de interno de información, para que este prosiga con su tramitación. En todo este procedimiento, la identidad del informante es conservada, cumpliendo con el anonimato del canal de denuncias.

Si se opta por la gestión externa del sistema interno de información, la identidad del tercero encargado de dicha gestión debe comunicarse en el reglamento del mismo.

Definir un reglamento para el sistema interno de información

Otro de los pasos fundamentales para implementar el sistema interno de información, es la creación del reglamento del mismo, que deberá comunicarse tanto de forma interna, a todos los miembros de la empresa, como de forma externa (por ejemplo, a través de una sección en la página web corporativa).

Este reglamento del canal de denuncias interno o sistema interno de información debe hacerse de acuerdo a la legalidad vigente y contemplar las obligaciones en materia de protección de datos.

Entre otros aspectos, este reglamento recogerá:

  • El marco normativo y su ámbito de aplicación
  • Las vías de comunicación del canal para remitir las denuncias (dirección de correo electrónico, número de teléfono, dirección postal…)
  • Cómo deben presentarse las denuncias
  • El órgano competente para su recepción y tramitación
  • Los plazos (la ley ya establece que se deberá dar un acuse de recibo en un plazo máximo de 7 días desde la recepción de la denuncia y que la investigación interna tiene un plazo de 3 meses, desde el acuse de recibo, prorrogables a otros 3 meses)
  • Los derechos de denunciantes y denunciados
  • El funcionamiento del proceso

Así mismo, también habrá que definir el protocolo de funcionamiento del sistema interno de información (cómo se desarrollará la tramitación de las denuncias, desde su recepción, pasando por el proceso de investigación interna, hasta su resolución y las consecuencias para los infractores, sin perjuicio de denunciar el hecho ante la justicia).

Registro de las denuncias recibidas

El sistema interno de información también deberá contar con un registro de las denuncias recibidas y de las investigaciones internas a las que estas hayan dado pie. Este registro deberá llevarse por escrito

Nombrar un DPO

Si la empresa no dispone de un DPO (Delegado de Protección de Datos), será necesario nombrar uno, puesto que el sistema interno de información debe cumplir con las obligaciones de la normativa de protección de datos al tratarse de un tratamiento de datos personales (del denunciante, del denunciado y de aquellos terceros que puedan ser parte).

Si la empresa ya cuenta con un DPO, el tratamiento de datos realizado en el sistema interno de información deberá incluirse dentro de sus competencias.

¿Cómo implementar un sistema interno de información en un grupo de empresas?

Implementar un sistema interno de información en un grupo de empresas debe seguir el mismo procedimiento que hemos visto en los puntos anteriores, pero con la particularidad de que será la empresa dominante quien aprobará el reglamento y protocolo general relativo al sistema. Además, deberá asegurarse de que se aplique en todas las empresas del grupo, sin perjuicio para la autonomía de cada empresa y de las normativas aplicables que en cada caso deban tenerse en cuenta.

Así mismo, se podrá nombrar un solo responsable del sistema interno de información para todo el grupo de empresas o nombrar un responsable para cada empresa del grupo.

Si ahora que ya sabes cómo implementar un canal de denuncias o sistema interno de información en tu empresa, te sigue pareciendo una tarea compleja o a la que no puedes dedicar el tiempo necesario, especialmente de cara a la gestión de las denuncias, en Grupo Atico34 te podemos ayudar en el proceso de implementación y gestión del sistema interno de información. No lo dudes, ponte en contacto con nosotros y te explicaremos cómo podemos ayudarte.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.