Fa tres anys, en aquest mateix espai es va publicar un apunt titulat “La protecció de la persona denunciant”, en el qual mencionava la Directiva (UE) 2019/1937 del Parlament Europeu i del Consell, relativa a la protecció de les persones que informen sobre infraccions del dret de la Unió, coneguda com a Directiva Whistleblowing o Whistleblower, que els estats havien de transposar com a màxim el 17 de desembre de 2021.
Val a dir que abans d’aprovar-se aquesta Directiva, l’article 24 de la Llei orgànica 3/2018, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), ja anava en aquesta mateixa línia. En efecte, en aquest precepte –que la Llei 2/2023 ha modificat i gairebé ha buidat de contingut– es regulaven els sistemes d’informació de denúncies internes, respecte dels quals ja es disposava la possibilitat de presentar denúncies anònimes, o la necessitat de preservar i protegir la identitat de la persona denunciant en cas que s’hagués identificat.
Respecte de la transposició de la Directiva 2019/1937, un cop més el legislador estatal s’ha demorat més del compte, però sembla que els tocs d’atenció de la Comissió Europea, amb amenaça de multa inclosa, han ajudat que finalment s’aprovés a les Corts Generals la Llei 2/2023, de 20 de febrer, reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció. És una llei que afecta plenament el conjunt d’entitats del sector públic català, i que obligarà a implantar canvis rellevants en les seves organitzacions.
Del títol de la Llei ja s’infereix quina n'és la finalitat principal, que s’explicita a l’article 1: donar a les persones físiques que informen d’infraccions una protecció adequada davant possibles represàlies.
Fins ara, quan es tenia coneixement que una empresa incomplia la normativa tributària o laboral; o que una administració pública vulnerava la normativa de protecció de dades personals; o que un empresari feia abocaments il·legals o qualsevol altra actuació perjudicial per al medi ambient, la persona que coneixia aquests fets tenia dues alternatives: a) comunicar els fets a l’òrgan competent mitjançant denúncia, o b) no fer res. De vegades, l’alternativa de no fer res es justificava en les possibles represàlies o perjudicis que podria patir la persona física denunciant.
Així les coses, sempre que he tingut ocasió he subratllat el paper rellevant de les persones que feien el pas de denunciar, en ser una forma evident de participació ciutadana, tal com explica el preàmbul de la Llei 2/2023, en el qual es fa referència al caràcter indispensable de la col·laboració ciutadana i del compromís col·lectiu amb el bon funcionament de les institucions públiques i privades. I el preàmbul fa referència també a les experiències d’actuacions cíviques que han advertit de pràctiques irregulars i que han servit per detectar i castigar conductes il·lícites, tot i que les persones que s’atrevien a denunciar no sempre ho tenien fàcil, perquè en molts casos la legislació aplicable exigia la identificació de la persona denunciant, cosa que podia dissuadir moltes persones, en determinades circumstàncies.
Una mostra clara d’aquesta normativa que exigeix la identificació la tenim a l’article 62 de la Llei 39/2015, dedicat a la denúncia, que en l'apartat 1 defineix com “l’acte pel qual qualsevol persona, en compliment o no d’una obligació legal, posa en coneixement d’un òrgan administratiu l’existència d’un fet determinat que pugui justificar la iniciació d’ofici d’un procediment administratiu”. I a continuació, l’apartat 2 del precepte disposa que “Les denúncies han d’expressar la identitat de la persona o persones que les presenten”. Així, aquesta norma bàsica impedeix la presentació de denúncies anònimes, tot i que algunes normes sectorials ho permetien, i cada cop més organitzacions disposaven de canals de denúncies anònimes, i en això cal subratllar el paper capdavanter de l’Oficina Antifrau de Catalunya.
Aquesta determinació de l’article 62 de la Llei 39/2015 en què s’exigeix la identificació de la persona que informa d’una infracció s’hauria d’entendre que ha estat desplaçada per la Llei 2/2023 i, atès el seu caràcter bàsic, el mateix es pot dir d’altres normes catalanes que contenien determinacions equivalents a l’article 62 de la Llei 39/2015, com ara l’article 22 de la Llei 32/2010, de l’Autoritat Catalana de Protecció de Dades.
Un cop efectuada aquesta introducció, faré referència a continuació als aspectes clau o més rellevants dels tres primers títols de la Llei 2/2023, i en un segon apunt analitzaré la resta de l'articulat, sempre des d’una perspectiva centrada en el que és més rellevant per a les entitats del sector públic català.
Finalitat de la Llei (art. 1)
Com he avançat, la finalitat principal és atorgar una protecció adequada enfront de les represàlies que puguin patir les persones físiques que informin d’alguna infracció. També inclou com a finalitat enfortir la cultura de la informació i les infraestructures d’integritat de les organitzacions i fomentar la cultura de la informació o comunicació com a mecanisme per prevenir i detectar amenaces a l’interès públic.
Àmbit d’aplicació de la Llei (art. 2 i 3)
La protecció a les persones informants es refereix a l’àmbit material d’infraccions del dret de la Unió Europea, o també a vulneracions del dret intern que estiguin tipificades com a infraccions penals o administratives greus o molt greus.
Pel que fa a l’àmbit personal d’aplicació, es refereix a les persones informants que treballin al sector públic o privat i que tinguin coneixement d’alguna vulneració en un context laboral o professional, fins i tot quan la relació ha finalitzat. La protecció abasta també a familiars de la persona informant, o fins i tot a persones jurídiques per a les quals treballa o amb qui té alguna relació.
Sistema dual: intern/extern
La Llei es fonamenta en l’existència de dos sistemes d’informació o alertes sobre possibles vulneracions. Un sistema intern, a través del qual la mateixa organització on s’hauria comès la vulneració rep l’alerta o informació. I un sistema extern, en el qual la informació o alerta s'adreça a una autoritat independent. La persona informant o alertadora pot escollir entre qualsevol dels dos sistemes, si bé el sistema intern es configura com a via preferent.
Sistema intern (títol II)
El sistema intern d’informació o alertes està regulat al títol II (art. 4-15), i es configura com el canal preferent per informar sobre vulneracions, sempre que la persona denunciant consideri que no hi ha risc de represàlies.
La responsabilitat d’implantar aquest sistema recau sobre l’òrgan d’administració o de govern de cada organització. Al seu torn, aquest òrgan esdevé el responsable del tractament, des de la perspectiva de la normativa de protecció de dades personals.
Referent a això, s'estableix la possibilitat que diverses organitzacions gestionin un mateix sistema, de manera que estaríem davant d’un supòsit de corresponsables del tractament, que exigiria la formalització de l’acord establert a l’article 26 del Reglament general de protecció de dades (RGPD). I també es permet la possibilitat que la gestió del canal intern s’encomani a un tercer, que tindria la consideració d’encarregat del tractament i, per tant, caldria formalitzar l’acte o contracte exigit per l’article 28.3 del RGPD. Ara bé, en el cas d’entitats del sector públic, aquesta externalització només es permet si s’acredita la insuficiència de mitjans propis (art. 15).
En el sector privat, estan obligades a disposar d’un sistema intern d’informació les empreses que tenen 50 o més treballadors. També totes les empreses que, amb independència del nombre de treballadors, estan sotmeses a normativa comunitària en matèria de serveis financers, prevenció del blanqueig de capitals, seguretat del transport o protecció del medi ambient. A l’últim, també estan obligats els partits polítics, els sindicats i les organitzacions empresarials.
Totes les entitats del sector públic estan obligades a disposar d’un sistema intern d’informació. A aquest efecte, l’article 13 menciona expressament les corporacions de dret públic, tot i que l’article 2 de la Llei 40/2015 no les inclou quan defineix el sector públic. Així mateix, obliga també els òrgans constitucionals, els de rellevància constitucional i institucions autonòmiques anàlogues, com serien les institucions estatutàries: Síndic de Greuges, Sindicatura de Comptes, Consell de Garanties Estatutàries i Consell de l’Audiovisual de Catalunya.
Pel que fa a les entitats del sector públic amb funcions de comprovació o investigació d’incompliments sotmesos a la Llei 2/2023, com podria ser l’Autoritat Catalana de Protecció de Dades (APDCAT), l’article 13.3 exigeix distingir entre un canal intern referit als incompliments de la institució i del seu personal, i un canal extern referent a les comunicacions que rebi d’incompliments de tercers que li correspon investigar, és a dir, la via que ja té oberta per formular reclamacions i/o denúncies contra entitats del sector públic català per presumptes incompliments de la normativa de protecció de dades.
També respecte al sistema de denúncies de les entitats del sector públic, l’article 14 estableix la possibilitat de disposar de mitjans compartits amb qualsevol administració pública de la comunitat autònoma, en el cas de municipis de menys de 10.000 habitants, o d’entitats amb menys de 50 treballadors. Ara bé, els sistemes esmentats han d’estar degudament separats i han d’aparèixer diferenciats, per tal d’evitar de confondre la ciutadania.
Els sistemes interns esmentats, tant del sector públic com del privat, s’han d’implantar en el termini màxim de tres mesos a partir de l’entrada en vigor de la Llei, si bé en el cas de municipis de menys de 10.000 habitants o empreses del sector privat de menys de 250 treballadors les obligacions es demoren fins a l’1 de desembre de 2023.
Sistema extern (títol III)
El sistema extern es vehicula mitjançant l'Autoritat Independent de Protecció de l'Informant, d’àmbit estatal. S'estableix la possibilitat, però, de crear autoritats o òrgans autonòmics equivalents, que serien competents respecte del sector públic autonòmic i local, institucions estatutàries, i també respecte d’entitats del sector privat si l’incompliment se circumscriu a l’àmbit territorial de la comunitat autònoma (art. 24.2).
Per a aquest sistema s'estableix la possibilitat d’informar d’una vulneració de manera anònima, i per al cas que la persona s’identifiqui es disposen diverses mesures a fi d’assegurar-ne la protecció.
Es disposa un tràmit d’admissió, en el qual es pot inadmetre la comunicació si concorre alguna de les causes taxades enumerades a l’article 18.2. L’eventual inadmissió s’ha de produir en un termini màxim de 10 dies des que s’hagi rebut la comunicació. En cas d’admetre la comunicació, es disposa una fase d’instrucció i la finalització posterior de les actuacions, amb l’emissió d’un informe sobre la base del qual cal adoptar alguna de les decisions establertes a l’article 20.2: arxiu de l’expedient; remissió al Ministeri Fiscal; trasllat a l’autoritat competent, o iniciació d’un procediment sancionador.
Amb el que he explicat fins aquí he volgut destacar els aspectes clau dels tres primers títols de la Llei 2/2023, com una visió general o panoràmica. Aquest apunt tindrà una segona part, en la qual analitzaré la resta de continguts de la Llei, sobretot des de l’òptica del que pot resultar més rellevant per a les entitats del sector públic català.