Este documento resume la legislación española e internacional sobre el whistleblowing o denuncia de irregularidades. Explica que las empresas están obligadas a disponer de canales internos de denuncia confidenciales y protegidos, y que los denunciantes no pueden sufrir represalias. La normativa incluye infracciones relacionadas con la ciberseguridad, como incidentes de seguridad y filtraciones de datos. Las empresas deben transponer estas directivas antes de 2021, aunque se concede más tiempo para pymes.

1. Si mi empresa ha ocultado el
incidente, ¿cómo se ha enterado
el regulador?
Francisco Pérez Bes
Abogado
@pacoperezbes

2. La transparencia como tendencia regulatoria
¿Por qué no se revelan los incidentes?
El miedo a las represalias y la teoría del pito del sereno.

3. El whistleblowing: ¿qué es?
Un canal de denuncia, efectivo, confidencial y seguro, a través del cual
revelar la comisión de una práctica ilícita que tiene o puede tener lugar,
en el seno de una organización, garantizando la protección efectiva del
denunciante frente a represalias.

4. ¿Tengo obligación de denunciar?
Sí, de conformidad con el artículo 259 de la Ley de Enjuiciamiento Criminal
(1882).
El que presenciare la perpetración de cualquier delito público está obligado a ponerlo
inmediatamente en conocimiento del Juez de instrucción, de paz, comarcal o municipal
o funcionario fiscal más próximo al sitio en que se hallare, bajo la multa de 25 a 250
pesetas.
Excepciones en los artículos siguientes: familiares, funcionarios, abogados…

5. ¿Hay una ley de whistleblowing?
Existen normas sectoriales que ya contemplaban la obligación de disponer de
mecanismos internos de denuncia (pe. En el ámbito de la competencia, de la
aviación civil…)
El DOUE de 26 de noviembre de 2019 publica la Directiva 2019/1937, del
Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la
protección de las personas que informen sobre infracciones del Derecho de la
Unión.
Su objeto es dictar unas normas mínimas comunes para la protección de las
personas que informen de determinadas infracciones.

6. ¿Incluye la ciberseguridad?
Considerando 14 de la Directiva de Whistleblowing:
Necesidad de desarrollar sistemas para que los denunciantes puedan
contribuir a la revelación de infracciones que puedan perjudicar el
interés público, incluidos los incidentes en prestadores de servicios
esenciales (pe. Energía, salud, transporte y banca) y proveedores de
servicios digitales (proveedores de cloud y suministradores de bienes
básicos como el agua, la electricidad o el gas) que por ley deban ser
notificados al regulador.

7. ¿Incluye la ciberseguridad?
Entre las infracciones a las que se refiere la ley están las que afectan a
la protección de la privacidad y los datos personales, y la seguridad de
las redes y sistemas de información.
Esas normas son:
- La Directiva e-privacy (2002/58/CE)
- El RGPD (Reglamento 2016/679)
- La Directiva NIS (Directiva 2016/1148)

8. ¿Incluye la ciberseguridad?
La Directiva NIS se traspuso en España a través del RD-Ley 12/2018:
Artículo 19: obligación de notificación de incidentes.
Artículo 20: protección del denunciante.
2. Los empleados y el personal que, por cualquier tipo de relación laboral o mercantil,
participen en la prestación de los servicios esenciales o digitales, que informen sobre
incidentes no podrán sufrir consecuencias adversas en su puesto de trabajo o con la
empresa, salvo en los supuestos en que se acredite mala fe en su actuación.
Se entenderán nulas y sin efecto legal las decisiones del empleador tomadas en
perjuicio o detrimento de los derechos laborales de los trabajadores que hayan actuado
conforme a este apartado.

9. ¿Incluye la ciberseguridad?
El RGPD se desarrolla en España a través de la LOPDGDD 3/2018, de 5
de diciembre.
Artículo 24. Sistemas de información de denuncias internas.
Obliga a garantizar la protección de la identidad y la confidencialidad.

10. ¿Incluye la ciberseguridad?
Medida 3 del Objetivo III de la Línea de Acción 4 (“impulsar la
ciberseguridad de ciudadanos y empresas”) de la Estrategia Nacional
de Ciberseguridad:
“Crear mecanismo ágiles y seguros de denuncia para el sector
privado y ciudadanos”.

11. Otros aspectos
Excluye la protección de la información clasificada.
La protección contra represalias a trabajadores en sentido amplio.
Se promueve la denuncia interna antes que la externa
Obliga a empresas públicas. También privadas de 50 o más
trabajadores. O de menos si son actividades con riesgo para el medio
ambiente y la salud pública.

12. Funcionamiento
Canales internos (orales y escritos) diseñados para proteger de forma segura la
confidencialidad de la identidad del denunciante.
Acuse de recibo en 7 días.
Designación de la persona o departamento responsable: ¿compliance, DPD…?
Plazo de respuesta inferior a 3 meses.
Información de seguimiento, y sobre los canales externos.
Registro de denuncias.

13. Medidas de apoyo y protección
Prohibición de represalias: definición de “represalia”.
Protección frente a represalias: exención de responsabilidad legal al
whistleblower, salvo que cometa delito para obtener pruebas (pe. Hackeo).
Sanciones para la organización:
- Si impide o intenta impedir las denuncias
- Si adopta medidas de represalia
- Promueve medidas abusivas contra el denunciante
- Incumple el deber de mantener la confidencialidad de la identidad

14. ¿Cuándo es exigible?
Con carácter general, la transposición de la Directiva ha de tener lugar
antes de 17 de diciembre de 2021.
Para entidades jurídicas del sector privado que tengan de 50 a 249
trabajadores, los Estados miembros deben poner en vigor las
obligaciones antes del 17 de diciembre de 2023.

15. Muchas gracias
Francisco Pérez Bes
Abogado
@pacoperezbes