Manuel Villoria es catedrático de Ciencia Política en la Universidad Rey Juan Carlos de Madrid (URJC), donde ha dirigido el Observatorio en Buena Gobernanza. Doctor en Ciencia Política y Sociología por la Universidad Complutense de Madrid, licenciado en Derecho y licenciado en Filología, becario Fulbright en la Universidad de Indiana, es autor de más de doscientas publicaciones (libros y artículos) sobre Administración pública y ética administrativa. Ha sido director de diferentes másteres, así como coordinador del Doctorado en Ciencias Jurídicas y Políticas de la URJC. Profesor invitado en la universidad de Indiana, California, Ginebra. En la actualidad, por nombramiento del Consejo de Ministros, y tras ser ratificado por el Congreso, ocupa el puesto de Presidente de la Autoridad Independiente de Protección del Informante

 LAS OBLIGACIONES DERIVADAS DE LA LEY 2/2023 PARA LAS NOTARÍAS

La Directiva (UE) 2019/1937 nos indica, en su considerando primero, que: “las personas que trabajan para una organización pública o privada, o que están en contacto con una organización de este tipo en el marco de sus actividades laborales, suelen ser las primeras en tener conocimiento de las amenazas o los perjuicios para el interés público que surgen en ese contexto. Al denunciar infracciones del Derecho de la Unión que perjudican al interés público, dichas personas actúan como ‘informantes’ y, por lo tanto, desempeñan un papel clave a la hora de sacar a la luz y prevenir tales infracciones, así como de salvaguardar el bienestar de la sociedad. Sin embargo, a menudo se disuade a los posibles denunciantes de comunicar sus inquietudes o sospechas por temor a represalias. En este contexto, se reconoce cada vez más, tanto a escala de la Unión como a escala internacional, la importancia de proporcionar una protección equilibrada y eficaz a los denunciantes”.
El legislador español, obligado por esta directiva, la traspuso mediante la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Para asegurar la implementación efectiva de la ley, el legislador decidió crear (Título VIII) la Autoridad Independiente de Protección del Informante, autoridad administrativa independiente, como ente de Derecho público de ámbito estatal, de las previstas en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, con personalidad jurídica propia y plena capacidad pública y privada, que actuará en el desarrollo de su actividad y para el cumplimiento de sus fines con plena autonomía e independencia orgánica y funcional respecto del Gobierno, de las entidades integrantes del sector público y de los poderes públicos en el ejercicio de sus funciones.

“Las notarías estarían obligadas a tener un sistema interno de información (SII) cuando se encuentren en alguno de los supuestos previstos en la letra a) del artículo 10.1 de la Ley 2/2023. Sin perjuicio de la posibilidad de que, aquellas que no se encuentren en tales supuestos, establezcan voluntariamente su propio SII de acuerdo con los requisitos previstos en la
Ley”

El Título II de la Ley se denomina “Sistema interno de información”. Dentro de él se ocupa (en su Capítulo II) del “Sistema interno de información en el sector privado”, mientras que al “Sistema interno de información en el sector público” le dedica su Capítulo III. Dentro de las disposiciones generales relativas a todos ellos (arts. 4 a 9), la Ley 2/2023 obliga al “órgano de administración u órgano de gobierno de cada entidad u organismo” (art. 5) de los sectores público y privado a implantar lo que denomina como “Sistema interno de información”, siempre previa consulta (no habla de negociación) con la representación legal de las personas trabajadoras (art. 5).
De acuerdo al artículo 5.2 de la citada ley, el sistema interno de información (SII), en cualquiera de sus fórmulas de gestión, deberá esencialmente: 1) permitir comunicar información sobre las infracciones previstas en el artículo 2 de la Ley 2/2023; 2) estar diseñado, establecido y gestionado de una forma segura, impidiendo el acceso de personal no autorizado; 3) integrar los distintos canales internos de información que pudieran establecerse dentro de la entidad; 4) garantizar que las comunicaciones presentadas puedan tratarse de manera efectiva dentro de la correspondiente entidad u organismo con el objetivo de que el primero en conocer la posible irregularidad sea la propia entidad u organismo; 5) contar con un “Responsable del sistema” (RSII); 6) contar con una política o estrategia que enuncie los principios generales en materia de SII y defensa del informante y que sea debidamente publicitada en el seno de la entidad u organismo; 7) contar con un procedimiento de gestión de las informaciones recibidas; y 8) establecer las garantías para la protección de los informantes en el ámbito de la propia entidad u organismo.
Dicho esto, un desarrollo analítico nos llevaría a clarificar qué entidades del sector privado están obligadas a tener un SII. Pues bien, según el artículo 10.1 de la Ley 2/2023, con carácter general, la obligación afecta a toda persona física o jurídica del sector privado que tenga presencia organizada o establecimiento en España o que desarrolle en el país actividades a través de sucursales o agentes o incluso mediante prestación de servicios sin establecimiento permanente (con independencia del domicilio social) y que se encuentre en alguno de los supuestos previstos en los apartados siguientes. De dicho artículo se deriva que son tres las clases de entidades obligadas, en concreto: a) las personas físicas o jurídicas del sector privado que tengan contratados 50 o más trabajadores; b) las personas jurídicas del sector privado que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente a que se refieren las partes I.B y II del anexo de la Directiva (UE) 2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, con independencia del número de trabajadores con que cuenten; y c) los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos.

“La confidencialidad del SII es una garantía esencial para la protección efectiva de las personas informantes y para la validez y eficacia del propio sistema”

Esta redacción nos lleva a considerar que, en el primer supuesto, nos encontraríamos con todas las personas, físicas o jurídicas, o comunidades de bienes que reciban la prestación de servicios de trabajadores que voluntariamente presten sus servicios retribuidos por cuenta ajena y dentro del ámbito de organización y dirección de otra persona, física o jurídica, denominada empleador o empresario, así como de las personas contratadas para ser cedidas a empresas usuarias por empresas de trabajo temporal legalmente constituidas, siguiendo el artículo 1 del Estatuto de los Trabajadores. Por otra parte, para determinar si la empresa tiene 50 o más trabajadores puede servir de orientación lo dispuesto en el artículo 3 de Real Decreto 901/2020, de 13 de octubre, por el que se regulan los Planes de Igualdad.
De este modo, más allá de las obligaciones que para las notarías resultan de la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, y el Reglamento (UE) 2024/1624 del Parlamento Europeo y del Consejo, relativos a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, las notarías estarían obligadas a tener un SII cuando se encuentren en alguno de los supuestos previstos en la letra a) del artículo 10.1 de la Ley 2/2023. Sin perjuicio de la posibilidad de que, aquellas que no se encuentren en tales supuestos, establezcan voluntariamente su propio SII de acuerdo con los requisitos previstos en la ley. Por su parte, los Colegios Notariales entrarían dentro de las entidades obligadas en el sector público, al ser corporaciones de Derecho público (art. 13.1.e Ley 2/2023).

¿Qué implica tener un sistema interno de información de conformidad con la Ley 2/2023?
El SII debe ser universal dentro del contexto laboral o profesional de la organización, incluso para determinadas personas que no formen parte de esta. De este modo, debería garantizar el acceso a un amplio espectro de informantes, incluyendo no sólo a la plantilla, empleados, becarios, sino también a: autónomos y profesionales independientes que trabajan para la misma; personas que trabajan para proveedores o contratistas; personas con relación profesional ya finalizada (extrabajadores, ex proveedores, etc.); y personas cuya relación profesional aún no ha comenzado (por ejemplo, personas en procesos de selección, aspirantes a colaborar profesionalmente). Por otra parte, el SII debe permitir la recepción de todas las categorías de infracciones previstas en la ley (delitos penales, infracciones administrativas graves y muy graves, e infracciones del Derecho de la Unión Europea), sin perjuicio de que, al amparo de lo establecido en el artículo 7.4 de la Ley 2/2023, puedan estar habilitados para recibir otras categorías de informaciones (por ejemplo infracciones al código de conducta, etc.).
Por otra parte, la confidencialidad del SII es una garantía esencial para la protección efectiva de las personas informantes y para la validez y eficacia del propio sistema. Dicha confidencialidad debe integrarse en el diseño organizativo y funcional del sistema desde su origen. A tal efecto, el sistema deberá operar mediante una plataforma segura y cifrada de extremo a extremo que impida la identificación directa o indirecta del informante, con accesos estrictamente restringidos y trazabilidad controlada, extendiéndose la confidencialidad no solo a la identidad de las personas implicadas, sino también al contenido de las comunicaciones y a cualquier dato que permita inferirla, y previniendo activamente usos indebidos del sistema o represalias de cualquier tipo.

“Toda entidad obligada deberá disponer de un documento formal que establezca los principios generales que rigen el funcionamiento del sistema, las garantías de confidencialidad, independencia y protección frente a represalias, así como los derechos y deberes de los informantes y afectados, y también de los que gestionan la información”

Además, el canal debe permitir comunicar las infracciones:
1. Por escrito: mediante formularios electrónicos seguros, correo postal o correo electrónico.
2. Verbalmente: mediante línea telefónica o, si lo solicita el informante, mediante una reunión presencial con el RSII en un plazo no superior a siete días.
Si la entidad posee múltiples buzones o canales de denuncia sectoriales que reciban comunicaciones del artículo 2 de la Ley 2/2023 (por ejemplo acoso laboral, sexual, etc.), todos deben converger bajo la supervisión del RSII. El objetivo es ofrecer una "ventana única" de recepción de dichas informaciones, asegurando la aplicación uniforme de las garantías legales sin perjuicio de que, una vez recibidas las informaciones, puedan tener un tratamiento diferenciado en función de los protocolos específicos que las distintas normativas establecen.
Más aún, el procedimiento de gestión (art. 9) debe ser ágil y eficaz garantizando tiempos de respuesta razonables, ausencia de represalias y una comunicación institucional inequívoca que refuerce la confianza en que las informaciones serán tratadas con seriedad, confidencialidad y neutralidad, favoreciendo la detección temprana y corrección interna de conductas irregulares, promoviendo así la autocorrección.
Toda entidad obligada deberá disponer de un documento formal que establezca los principios generales que rigen el funcionamiento del sistema, las garantías de confidencialidad, independencia y protección frente a represalias, así como los derechos y deberes de los informantes y afectados, y también de los que gestionan la información. Dicha política deberá ser de fácil acceso y adecuadamente difundida con el fin de que todas las personas con una relación laboral o profesional con la entidad u organismo conozcan los canales disponibles, comprendan el alcance de la protección ofrecida y se genere la confianza necesaria para que la organización sea el primer ámbito al que se comuniquen posibles irregularidades. Vinculado a ello, debe existir un protocolo de actuación escrito y formal que regule cada fase, desde el acuse de recibo hasta la conclusión y respuesta al informante, cumpliendo rigurosamente los plazos legales (siete días para el acuse; tres meses para dar respuesta a las actuaciones), garantizando la confidencialidad de la identidad del informante y de las personas afectadas, la adecuada separación de funciones, la trazabilidad de las actuaciones y una gestión diligente, imparcial, evitando retrasos, interferencias o usos indebidos del sistema. Y por supuesto, la entidad debe incluir en su normativa interna (Reglamento del SII o Política) un compromiso y una lista de garantías que aseguren que el informante no sufrirá consecuencias negativas o represalias por haber comunicado de buena fe. Esto incluye la prohibición de acciones como el despido, el descenso de categoría, el traslado o cualquier acto discriminatorio con ocasión de la denuncia.

“La implantación de un SII conforme a la Ley 2/2023 no puede entenderse como una obligación meramente formal o burocrática, ni como un añadido accesorio a otras exigencias normativas ya existentes en el ámbito notarial”

Dejamos para el final dos aspectos sobre los que es importante detallar algunos componentes: el responsable del sistema y la posibilidad de compartir medios. Para empezar, la designación de un RSII es obligatoria. Esta figura debe tener un estatus de independencia, autonomía y autoridad dentro de la entidad para ejercer sus funciones sin recibir instrucciones del órgano de administración o de otros directivos. Puede ser una persona física o un órgano colegiado. Si es persona física, la ley establece que el RSII será un directivo de la entidad, el cual ejercerá su cargo con independencia del órgano de administración o de gobierno de esta. En cualquier caso, la propia norma admite que, cuando la naturaleza o la dimensión de las actividades de la entidad no justifiquen o permitan la existencia de un directivo RSII, será posible compatibilizar el desempeño ordinario de las funciones de otro puesto o cargo de la entidad obligada con las de RSII, tratando en todo caso de evitar posibles situaciones de conflicto de interés y garantizando siempre la ausencia de conflictos de interés y la total independencia en el ejercicio de su labor. El órgano colegiado puede ser útil en determinados casos para reforzar la confianza en el sistema, distribuir responsabilidades y reducir el riesgo de interferencias o instrumentalización, debiendo siempre delegar en uno de los miembros las facultades de gestión y tramitación de expedientes de investigación. Asimismo, puede reducir el riesgo de interferencias o instrumentalización si integra perfiles complementarios, con experiencia jurídica, o de cumplimiento o de control interno. No será exigible que todos los miembros formen parte de la organización, pero en todo caso, el órgano debe contar con, al menos, un miembro interno de la entidad obligada. En este caso, el órgano colegiado será el RSII de dicha entidad, con independencia del origen de sus integrantes. La competencia para la designación del RSII y de su destitución o cese será del órgano de administración o de gobierno. Tanto el nombramiento como el cese del RSII deben ser notificados a la Autoridad Independiente de Protección del Informante (AIPI) o, en su caso, a las autoridades u órganos competentes de las Comunidades Autónomas, en el plazo de diez días hábiles, especificando, en el caso del cese, las razones que han justificado el mismo. La notificación de los nombramientos y ceses de los RSII deberá llevarse a cabo cumplimentando el formulario facilitado por la AIPI a través de su sede electrónica. https://sede.proteccioninformante.gob.es/.
Finalmente, la gestión del SII puede ser externalizada a un tercero en los términos del artículo 6 de la Ley 2/2023. A estos efectos, se considera gestión del Sistema la recepción de informaciones. No obstante, la responsabilidad última por el correcto funcionamiento del Sistema y el cumplimiento de la Ley recae íntegramente en la entidad obligada. El RSII, aunque sea externo, debe cumplir los mismos requisitos de independencia. La Ley permite que las entidades del sector privado que tengan entre 50 y 249 trabajadores compartan entre sí el SII y los recursos destinados a la gestión y tramitación de las comunicaciones, tanto si la gestión se lleva a cabo por cualquiera de ellas, como si se ha externalizado, respetándose en todo caso las garantías previstas en la ley. Obviamente, este supuesto se daría con más razón para entidades que tengan menos de 50 trabajadores, como muchas notarías. Ahora bien, aunque la Ley permite la compartición de recursos, la gestión y la responsabilidad final deben ser diferenciadas y la autonomía de cada SII debe preservarse. Para ello, la página o portal de acceso al sistema deberá identificar de forma visible e inequívoca la entidad u organismo titular del sistema y delimitar su ámbito de aplicación, de modo que la persona informante conozca con claridad ante qué entidad está comunicando la información y bajo qué régimen de garantías será tratada.

“Se configura como un elemento estructural del modelo de cumplimiento normativo y de gobernanza responsable que el legislador europeo y nacional pretende consolidar”

Dicho todo esto, es importante culminar esta tribuna recordando que la Ley 2/2023 establece, en su Título IX, un régimen sancionador bastante riguroso a efectos de asegurar el cumplimiento de la norma. El ejercicio de la potestad sancionadora prevista corresponde a la Autoridad Independiente de Protección del Informante y a los órganos competentes de las Comunidades Autónomas, si bien, para el caso del sector privado existe una cláusula de residualidad para el Estado, que asumiría de esta forma la competencia sancionadora respecto de infracciones del sector privado, incluso cuando su ámbito territorial no excede a una Comunidad Autónoma, salvo en aquellos supuestos en que las Comunidades Autónomas lo hayan asumido específicamente. En el artículo 63.1 de la Ley se tipifican las infracciones muy graves, que en esencia se centran en castigar las actuaciones dolosas que impidan denunciar, aquellas que impliquen represalias y las que vulneren las garantías de confidencialidad y anonimato o el deber de secreto; pero también incorpora la de comunicar o revelar públicamente información a sabiendas de su falsedad. En el artículo 63.2 las graves, que serían esencialmente las mismas, pero cuando no tengan el componente de dolo conforme al apartado 1. Y en el artículo 63.3 las infracciones leves, que incluyen: a) la remisión de información de forma incompleta, de manera deliberada por parte del RSII a la Autoridad, o fuera del plazo concedido para ello; b) el incumplimiento de la obligación de colaboración con la investigación de informaciones; y c) cualquier incumplimiento de las obligaciones previstas en la Ley 2/2023 que no esté tipificado como infracción muy grave o grave.
La comisión de infracciones previstas en la Ley 2/2023 llevará aparejada la imposición de las siguientes multas:
a) Si son personas físicas las responsables de las infracciones, serán multadas con una cuantía de 1.001 hasta 10.000 euros por la comisión de infracciones leves; de 10.001 hasta 30.000 euros por la comisión de infracciones graves y de 30.001 hasta 300.000 euros por la comisión de infracciones muy graves.
b) Si son personas jurídicas serán multadas con una cuantía hasta 100.000 euros en caso de infracciones leves, entre 100.001 y 600.000 euros en caso de infracciones graves y entre 600.001 y 1.000.000 de euros en caso de infracciones muy graves.
En infracciones muy graves puede acordarse, además, la prohibición de obtener subvenciones u otros beneficios fiscales durante un plazo máximo de cuatro años o la prohibición de contratar con el sector público durante un plazo máximo de tres años.
En definitiva, la implantación de un SII conforme a la Ley 2/2023 no puede entenderse como una obligación meramente formal o burocrática, ni como un añadido accesorio a otras exigencias normativas ya existentes en el ámbito notarial. Muy al contrario, se configura como un elemento estructural del modelo de cumplimiento normativo y de gobernanza responsable que el legislador europeo y nacional pretende consolidar.