Cuestiones a tener en cuenta en la implantación del sistema interno de información
Cuestiones a tener en cuenta en la implantación del sistema interno de información
La Ley 2/2023 en España obliga a empresas con más de 50 empleados a implementar un Sistema Interno de Información (SII) para reportar infracciones y combatir la corrupción, enfocándose en la protección de datos y el tratamiento eficiente de comunicaciones, con responsabilidad directa del Órgano de Administración.
El pasado 20 de febrero se publicó la Ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Esta ley entró en vigor el 13 de marzo de 2023 y daba un plazo hasta el 13 de junio de 2023 para todas las empresas del sector público y para las del sector privado de más de 250 empleados, obligando a tener implantado el Sistema Interno de Información (en adelante, SII). Adicionalmente, ampliaba el plazo de implantación al 1 de diciembre de 2023 para las empresas del sector privado de entre 50 y 249 empleados.
Cabe señalar que para aquellos grupos de empresas que de forma individual cada una de sus sociedades no superen los 50 empleados, no es obligatorio tener implantado el SII. No obstante, si ya tienen un canal ético para comunicar infracciones penales o incumplimientos del código ético, éste debe adaptarse a la citada Ley.
Una vez vencido el plazo legal para implantar el SII, todavía hay compañías que están pendientes de cumplir con dicha obligación y que se siguen planteando cómo les afecta los requisitos regulatorios de la citada Ley.
En base a nuestra experiencia, queremos destacar los aspectos más relevantes que las organizaciones deben tener en cuenta:
Adicionalmente, resumimos los principales aspectos que las organizaciones han de tener en cuenta en caso de que no se hayan adaptado todavía a la nueva Ley:
Si el Responsable del Sistema de Información es un Órgano Colegiado, se deben delegar en uno de sus miembros las facultades de gestión del Sistema Interno de la Información.
En BDO disponemos de un equipo especializado tanto en el asesoramiento, diseño e implantación, revisión del SII (incluyendo una herramienta para la gestión del SII líder en el mercado) como en la gestión de las comunicaciones recibidas. Por todo ello, les ofrecemos nuestro asesoramiento para ayudarles y colaborar en los retos que sin duda se derivan de esta nueva regulación.
Cabe señalar que para aquellos grupos de empresas que de forma individual cada una de sus sociedades no superen los 50 empleados, no es obligatorio tener implantado el SII. No obstante, si ya tienen un canal ético para comunicar infracciones penales o incumplimientos del código ético, éste debe adaptarse a la citada Ley.
Una vez vencido el plazo legal para implantar el SII, todavía hay compañías que están pendientes de cumplir con dicha obligación y que se siguen planteando cómo les afecta los requisitos regulatorios de la citada Ley.
En base a nuestra experiencia, queremos destacar los aspectos más relevantes que las organizaciones deben tener en cuenta:
- Relevancia de disponer de una plataforma tecnológica potente que asegure la completitud de requerimientos legales, multi-idioma, multi canales para atender tanto comunicaciones escritas como verbales.
- Aseguramiento de cumplir con todo lo relativo a la protección de datos/RGPD y los procesos de anonimización de la información en base al tipo de datos recabados y los plazos dispuestos por la legislación.
- Tratamiento y valoración de las comunicaciones recibidas para, en base a su naturaleza y grado de concreción, proceder a su admisión o descartarla. Para ello, es fundamental disponer de perfiles multidisciplinares para atender los distintos tipos de comunicaciones que se vayan a recibir en el SII, así como las investigaciones en detalle que posteriormente sean preceptivas tras una admisión para su tramitación.
- Eficiencia en la gestión de las comunicaciones recibidas y la buena praxis que supone una externalización de este cometido para preservar la confidencialidad de la comunicación al ser tratada por un externo, así como el incremento de la confianza, la imparcialidad, homogeneidad y profesionalidad en el análisis de estas.
Adicionalmente, resumimos los principales aspectos que las organizaciones han de tener en cuenta en caso de que no se hayan adaptado todavía a la nueva Ley:
- El Órgano de Administración de la compañía es responsable del Sistema Interno de Información y tendrá la condición de responsable de tratamiento de datos personales. Además, debe nombrar/cesar al Responsable del Sistema Interno de Información (puede ser uno para todo el Grupo) que debe tener cargo directivo dentro de la Organización y que se debe inscribir su nombramiento o cese en la Autoridad Independiente de Protección del Informante en los 10 días hábiles posteriores al nombramiento o cese. En la actualidad esta Autoridad está pendiente de creación y se tiene prevista su creación en el primer trimestre de 2024.
Si el Responsable del Sistema de Información es un Órgano Colegiado, se deben delegar en uno de sus miembros las facultades de gestión del Sistema Interno de la Información.
- Si las compañías ya disponían de un “Canal Ético” deben adaptarlo a los requisitos de la presente Ley mencionados a continuación. Si no lo tienen deben establecer el SII y asegurarse que cumple, entre otros, con los siguientes requisitos:
- Permitir a todas las partes interesadas comunicar sobre las infracciones penales o incumplimientos del código de conducta.
- Estar diseñado y gestionado de una forma segura, que garantice la confidencialidad del informante y de cualquier tercero y la protección de datos, impidiendo el acceso de personal no autorizado.
- Establecer garantías para la protección de los informantes.
- Permitir comunicaciones anónimas y por escrito o verbales o de ambos modos.
- Garantizar que las comunicaciones presentadas sean gestionadas de manera efectiva.
- Disponer de un libro registro de todas las informaciones recibidas y de las investigaciones internas.
- Eliminar los datos a los 10 años desde que se recibe la comunicación.
- Eliminar los datos, si transcurridos 3 meses desde la recepción de la comunicación no se han iniciado actuaciones de investigación, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del Sistema. Las comunicaciones a las que no se hayan dado curso sólo podrán constar de forma anonimizada.
- La compañía debe contar con una Política del Sistema Interno de Información o estrategia que enuncie los principios generales en materia del SII y de defensa del informante. Debe ser aprobada por el Órgano de Administración y publicada en un apartado fácilmente identificable de la web corporativa.
- La compañía debe disponer de un Procedimiento de Gestión de Informaciones aprobado por el Órgano de Administración.
En BDO disponemos de un equipo especializado tanto en el asesoramiento, diseño e implantación, revisión del SII (incluyendo una herramienta para la gestión del SII líder en el mercado) como en la gestión de las comunicaciones recibidas. Por todo ello, les ofrecemos nuestro asesoramiento para ayudarles y colaborar en los retos que sin duda se derivan de esta nueva regulación.