La Ley 2/2023 de Protección al Informante y las Entidades Locales

El 21-2-2023 se publicó en el BOE la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, por la que se incorpora al Derecho español (con marcado retraso) la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (el plazo venció el 17 de diciembre de 2021).

Entre otras cuestiones que no se pueden aquí abordar, la Ley 2/2023 (art. 13.1) obliga a las entidades que integran la Administración Local (como a todas las demás entidades del sector público y a las del sector privado a partir de 50 trabajadores) a establecer un Sistema Interno de Información (en adelante, SII), cuya finalidad es que los trabajadores en sentido amplio y otras personas relacionadas profesionalmente con una entidad (ya sea del sector público o privado) puedan comunicar internamente a la misma la comisión en su seno de determinadas infracciones, de tal modo que se preserve la confidencialidad de su identidad. Y, si se confirma la verosimilitud de la información, la entidad debe, además, actuar con diligencia y proteger al informante ante eventuales represalias.

La Ley (art. 5.1) establece que el órgano de gobierno de cada entidad u organismo obligado por la misma ley será el responsable de la implantación del SII, y fija para ello un plazo máximo de tres meses desde la entrada en vigor (es decir, hasta el 13 de junio 2023). Nada dice la Ley de cómo deba elaborarse y aprobarse el SII, salvo que exige que sea «previa consulta con la representación legal de las personas trabajadoras». Dado lo delicado de esta cuestión, parece aconsejable incluir en esta consulta tanto la representación unitaria como sindical. En todo caso, debe señalarse que se trata de un trámite de consulta, no de negociación.

Pero ¿en qué consiste el SII? Básicamente, se trata de un conjunto integrado, constituido por varios elementos (art. 5.2): el documento de política del sistema, el canal interno para recibir las comunicaciones, el procedimiento de gestión de las mismas, la garantías para la protección de los informantes, el libro-registro de las actuaciones y la autoridad responsable del sistema. Dada la heterogeneidad de estos elementos, la aprobación de los mismos puede requerir de la intervención de distintos órganos de gobierno (Pleno, Presidente y Junta de Gobierno Local, según se trate de municipios de régimen común o de gran población):

• Documento de política del SII. Cada SII debe contar con una política o estrategia que enuncie los principios generales en materia del sistema interno de información y de defensa del informante. Este documento debe ser debidamente publicitado en el web oficial. Al tratarse de un documento eminentemente programático, entiendo que es perfectamente posible que se apruebe por la Junta de Gobierno Local, si bien cabe llevarlo al Pleno.
• Canal interno para recibir las comunicaciones. Se trata aquí de implantar un dispositivo que cumpla una serie de requerimientos legales y técnicos: así debe permitir la presentación de comunicaciones por escrito (a través de correo postal o a través de cualquier medio electrónico habilitado al efecto) o verbalmente (por vía telefónica, a través de sistema de mensajería de voz o reunión presencial), o de ambos modos, así como debe posibilitar la presentación y posterior tramitación de comunicaciones anónimas, y, sobre todo, debe estar diseñado, establecido y gestionado de una forma segura, con las medidas técnicas y organizativas adecuadas para preserva la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, y de las actuaciones que se desarrollen en la gestión y tramitación de la misma, así como la protección de datos, impidiendo el acceso de personal no autorizado, así como garantizar que las comunicaciones presentadas puedan tratarse de manera efectiva dentro de la correspondiente entidad, con el objetivo de que el primero en conocer la posible irregularidad sea la propia entidad.
• Procedimiento de gestión de las informaciones recibidas. Debe establecer las previsiones necesarias para que el SII cumpla con los requisitos establecidos en la ley. En mi opinión, esta exigencia exige la aprobación de una norma reglamentaria por el Pleno, pues el procedimiento está orientado a que cualquier persona con derecho a ello pueda presentar una comunicación.
• Garantías para la protección de los informantes. Se deben establecer las garantías para la protección de los informantes en el ámbito de la propia entidad u organismo. Es claro que este elemento es también de naturaleza normativa. Lo lógico será integrar en una misma norma el procedimiento de gestión de las informaciones y las garantías a los informantes (y las funciones del Responsable del Sistema).
• Libro-registro de las informaciones recibidas y de las investigaciones internas a que hayan dado lugar, garantizando, en todo caso, los requisitos de confidencialidad previstos en la ley. Este registro no será público.
• Designación del Responsable del SII. El órgano de gobierno de cada entidad obligada debe designar a la persona física responsable de la gestión de dicho sistema (art. 8.1). Entiendo que esta competencia corresponde al Presidente de la entidad local, como jefe superior de todo el personal. La Ley añade que en las entidades u organismos en que ya existiera una persona responsable de la función de cumplimiento normativo o de políticas de integridad, cualquiera que fuese su denominación, podrá ser esta la persona designada como Responsable del Sistema. Así, en grandes entidades locales que disponen de inspección de servicios, parece que la persona titular de la misma será la más idónea para asumir esta función. En todo caso, habrá de valorarse que el Responsable del Sistema deberá desarrollar sus funciones de forma independiente y autónoma respecto del resto de los órganos de la entidad.
• Gestión SII: decisión sobre si optar por gestión directa o externalizar. La Ley (art. 6.1) permite tanto la gestión del SII por la propia entidad (como no podía ser de otro modo), como la externalización del mismo en un tercero. Ahora bien, esta segunda posibilidad no excluye la necesidad de designar el Responsable interno del SII. Asimismo, estimo que cabe también una solución intermedia: contratar el diseño del canal y gestionarlo directamente. En caso de que se opte por la contratación externa del canal, la Ley 2/2023 (art. 15) exige informe previo de insuficiencia de medios (realmente ya exigido por la LCSP para todos los contratos de servicios), y constriñe la gestión a cargo de la empresa únicamente al procedimiento para la recepción de las informaciones sobre infracciones (por lo que no puede extenderse al seguimiento de las mismas). Al menos, entiendo que sí será factible emplear la tramitación urgente del expediente, dado que se trata de cumplir una obligación legal de nuevo cuño.

¿Están exentas las pequeñas entidades locales de esta nueva obligación? Pues lo cierto es que, si bien la Directiva (art. 8.9) permite que los Estados miembros puedan eximir de la obligación a los municipios de menos de 10.000 habitantes o con menos de 50 trabajadores, la Ley 2/2023 (a diferencia de otros países, como Francia) no ha hecho uso de esta posibilidad. En mi opinión, es cierto que el parámetro de los 10.000 habitantes es relativamente elevado, y habría sido comparativamente poco equitativo en relación con el sector privado, pero no puede olvidarse que en España aproximadamente 5 de cada 8 municipios tienen menos de 1.000 habitantes, por lo que creo que habría sido proporcionado bajar el umbral de la exención a estos micro municipios.

Lo que sí permite la Ley 2/2023 (art. 14.1) es que los municipios de menos de 10.000 habitantes, entre sí o con cualesquiera otras Administraciones públicas que se ubiquen dentro del territorio de la comunidad autónoma, puedan compartir el SII y los recursos destinados a las investigaciones y las tramitaciones. Ahora bien, a diferencia de la Directiva que reconoce esta posibilidad a los municipios sin limitación de población, la Ley incomprensiblemente limita esta posibilidad a los municipios de menos de 10.000 habitantes, lo cual parece impedir que las Diputaciones provinciales puedan prestar este servicio a los municipios de más de 10.000 habitantes, aunque exista acuerdo entre las entidades locales, lo que parece poco razonable.

Asimismo, la Ley (art. 14.2) permite que las entidades pertenecientes al sector público con personalidad jurídica propia vinculadas o dependientes de órganos de las Administraciones territoriales, y que cuenten con menos de 50 trabajadores, puedan compartir con la Administración de adscripción el SII y los recursos destinados a las investigaciones y las tramitaciones. Y si bien el precepto se refiere en general a las Administraciones territoriales, su principal virtualidad será, como es lógico, en el ámbito local, pues es donde se localizan entidades instrumentales, tanto de derecho público como privado, de menos de 50 trabajadores, que podrán compartir recursos con la entidad local matriz. Con todo, la expresión de entidades “vinculadas” deberá entenderse en un sentido amplio, que permita acogerse a la misma a las entidades locales menores con menos de 50 trabajadores.

Finalmente, ¿qué sucederá si no se crea el SII? La Ley (art. 63.1) califica como infracción muy grave el «Incumplimiento de la obligación de disponer de un Sistema interno de información en los términos exigidos en esta ley». Y en el caso de personas jurídicas (parece que incluidas las entidades públicas) la multa a aplicar para las infracciones muy graves oscila entre 600.001 y 1.000.000 de euros. La competencia para imponer las sanciones en el caso de las entidades locales corresponde al órgano competente de la Comunidad Autónoma (art. 61.3), lo que requerirá la designación del mismo.

Lo cierto es que parece poco equitativo que el propio Estado que, con todos los medios a su disposición, se retrasó 14 meses en incorporar la Directiva, y que se da a sí mismo un año adicional para aprobar el estatuto de la Autoridad estatal competente en la materia, no tiene reparo en imponer un plazo tan breve como el de tres meses a las entidades públicas y privadas obligadas a la implementación de la Ley.