Image
ObCP - Opinión
La nueva Ley 2/2023 de protección del “informante”

Hace apenas unos días se aprobaba la esperada Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, que, más de un año después de la finalización del plazo de transposición de la Directiva 1937/2019, cuyo contenido fue analizado en una entrada anterior.[1]  En otra entrada publicada hace unos meses analizábamos el texto del Proyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, que fue 23 de septiembre de 2022 fue publicada en el Boletín Oficial de las Cortes Generales, que mantenía ciertos preceptos potencialmente problemáticos. El texto del proyecto no ha sufrido cambios en lo sustancial, por lo que reproducimos a continuación algunos de los análisis realizados en entradas anteriores, añadiendo algunas consideraciones que entendemos relevantes respecto a algunas novedades contenidas en la Ley o acontecidas en su proceso de tramitación.

 

[1] También puede consultarse el trabajo más extenso sobre la Directiva: MIRANZO DÍAZ, J. “La nueva Directiva europea de protección del denunciante: un análisis desde el derecho público” Revista General de Derecho Europeo, 49, 2019.

27/02/2023

Hace apenas unos días se aprobaba la esperada Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, que, más de un año después de la finalización del plazo de transposición de la Directiva 1937/2019, cuyo contenido fue analizado en una entrada anterior.[1]  En otra entrada publicada hace unos meses analizábamos el texto del Proyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, que fue 23 de septiembre de 2022 fue publicada en el Boletín Oficial de las Cortes Generales, que mantenía ciertos preceptos potencialmente problemáticos. El texto del proyecto no ha sufrido cambios en lo sustancial, por lo que reproducimos a continuación algunos de los análisis realizados en entradas anteriores, añadiendo algunas consideraciones que entendemos relevantes respecto a algunas novedades contenidas en la Ley o acontecidas en su proceso de tramitación. La norma, en cualquier caso, debe ser un pilar fundamental la arquitectura de integridad de nuestras Administraciones públicas, como se venía reclamando desde hace tiempo.[2]

 

1.       La transposición tardía y las posibles consecuencias desde el Derecho de la Unión

 

En anteriores entradas ya advertíamos de que n enero de 2022, la Comisión inició un procedimiento de infracción contra España (INFR(2022)0073), si bien, de acuerdo con la propia Comisión, tras la respuesta de las autoridades españolas, la Comisión emitió un dictamen motivado en julio de 2022 advirtiendo del compromiso de garantizar la aplicación de la Directiva de la UE sobre denunciantes.[3] La transposición tardía parecía, por tanto, que podría no acarrear sanciones finalmente, aunque la Comisión  advertía de que evaluaría con especial celo la forma en que se realiza la transposición.

 

Sin embargo, la Comisión consideró que las motivaciones y justificaciones proporcionadas por 8 de los Estados Miembros interpelados (entre ellos España) no podían considerarse satisfactorias, y la lentitud del procedimiento legislativo al que se ha visto sometida la aprobación de esta Ley parece haber colmado la paciencia de la Comisión, que este mes de febrero ha iniciado oficialmente un procedimiento de infracción ante el TJUE contra varios países, entre ellos España, por incumplimiento del Derecho de la Unión en la transposición de esta Directiva.

 

La apertura de este procedimiento, a inicios de febrero, es altamente relevante en tanto, independientemente de que pocas semanas después de su tramitación oficial España haya aprobado la Ley, este probablemente dé lugar a sanciones importantes. No debemos olvidar que la última multa de este tipo impuesta a España fue la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas, por un valor de 15 millones de euros. En este caso, la “justificación” para la no transposición de la Directiva de no tener conformado gobierno en ese momento, no fue apreciada como suficiente por el TJUE. Habrá que estar atentos, por tanto, al desarrollo de este procedimiento de infracción y sus posibles consecuencias para las arcas del Estado. 

 

y en concreto del ámbito de la contratación pública, la futura ley y su redacción adquieren una importancia capital. Es por eso que creemos conveniente analizar algunas cuestiones de la norma que afectarán al día a día de los poderes adjudicadores y Administraciones públicas.

 

2.       El canal de denuncias interno

 

2.1. Ámbito de aplicación

 

Una primera consecuencia directa que plantea este texto normativo es la obligación, para todo el sector público, de aprobar un canal interno de denuncias. Esta redacción que se mantiene con respecto al texto tramitado en septiembre como proyecto de Ley, encierra una aproximación ambiciosa por parte del legislador nacional, que elimina los umbrales que establecía la Directiva como ámbito mínimo de aplicación. Y es que, a pesar de que en su artículo 8.9, la norma europea permite a los Estados eximir de la implantación del canal interno a los municipios de menos de 10.000 habitantes o entidades del sector público de menos de 50 trabajadores, la Ley 2/2023, al enunciar el ámbito de aplicación en su artículo 13, prefiere prescindir de esta opción. Por tanto, todos los poderes adjudicadores, independientemente de su tamaño, deberán contar con este canal de denuncias. Esto puede plantear problemas en cuanto a la capacidad de gestión de los canales de denuncia por parte de estas entidades, lo que, irremediablemente debe corregirse a través de mecanismos de cooperación interadministrativa y, en su caso, facilitando la participación de actores privados en la gestión de este tipo de canales. La efectiva implantación de este tipo de instrumentos y su correcta canalización será, a mi juicio, uno de los elementos fundamentales del éxito de esta normativa en los pequeñas entidades del sector público.

 

2.2. Garantías

 

Tomando este elemento como punto de partida, la ley contiene algunas disposiciones generales sobre las características o requisitos que deberá cumplir el canal de denuncias interno, que se aplicarán tanto a sector público como privado, entre las que creemos conveniente resaltar:

 

  • Se impone la obligación de realizar consulta previa con los sindicatos y representación legal de los trabajadores (empleados públicos), a quienes se les reserva por tanto un papel relevante en la configuración del canal (artículo 5.1.)

  • El órgano de administración o de gobierno tendrá la condición de responsable del tratamiento de los datos personales que sean objeto de tratamiento durante las denuncias (artículo 5.1)

  • En su artículo 5.2.b) la ley impone que el sistema garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación y de las actuaciones que se desarrollen en la gestión y tramitación de la misma, la protección de datos, impidiendo el acceso de personal no autorizado.

  • Se debe permitir la presentación de comunicaciones por escrito o verbalmente, o de ambos modos (artículo 5.2.c)

  • En el caso de existir diferentes canales internos de denuncia, estos deberán integrarse y estar disponibles de manera unificada en la página principal del espacio web de la entidad, en una sección separada y fácilmente identificable. Además, el canal de denuncias y su funcionamiento deben ser transparentes, obligando a publicar información de forma clara y fácilmente accesible sobre el uso de todo canal interno de información que hayan implantado, así como sobre los principios esenciales del procedimiento de gestión (artículo 5.2.d).

  • Deben ser independientes y estar diferenciados del resto de sistemas de información de otras entidades u organismos (artículo 5.2.f).

  • Debe existir un procedimiento de gestión de las informaciones recibidas (artículo 5.2.i)

 

La norma proporciona, en definitiva, una serie de requisitos mínimos que deberán cumplir estos sistemas internos, pero lo cierto es que no ofrece en su articulado grandes detalles sobre cómo deben garantizarse o articularse estos elementos, lo cual puede crear riesgos e incertidumbres en su aplicación.

 

2.3. La denuncia anónima

 

Especial atención requiere la incorporación, tanto en los canales internos como externos, la obligación de admitir la presentación de denuncias anónimas,[4] lo cual es, sin duda, un importante avance y una muestra de la ambición del legislador español, dado que la Directiva planteaba esta opción como un elemento a concretar por los Estados Miembros.  A este respecto, es recomendable la lectura del apartado tercero del preámbulo de la Ley, en el que el legislador detalla y justifica de forma elaborada y con una redacción muy apropiada su decisión, de “política legislativa”, de apostar por la implantación de canales de denuncia anónimos.

 

La materialización y el detalle del contenido de los conceptos de confidencialidad y de anonimato, así como su efectiva implantación, puede ser especialmente delicado, y quedará en buena medida a consideración de la entidad pública correspondiente. En este sentido, debemos guardar ciertas precauciones al respecto, en tanto en cuanto la mayoría de las Administraciones no disponen de experiencia en canales confidenciales, pues la mayoría de procedimientos administrativos existentes hasta la fecha exigían una identificación previa del interesado, y los espacios administrativos en los que opera la confidencialidad a menudo son relativos a información procedente de terceras personas con respecto a terceros –la confidencialidad de las ofertas en materia de contratación pública, la protección de datos personales, etc.  Las pocas iniciativas relativas a procedimientos anónimos y confidenciales –el caso de Ayuntamiento de Madrid para los procedimientos de acceso a la información,[5] o del Ayuntamiento de Barcelona y la implantación de su Buzón Ético[6]– no han sido seguidas hasta ahora por el resto de administraciones y persisten importantes reticencias entre los empleados públicos a su implantación. Las presiones internas, especialmente en organizaciones de pequeño tamaño, por parte de los afectados para conocer la identidad del denunciante presentan uno de los mayores riesgos de la implantación de esta normativa; y en consecuencia, elementos como el uso de aplicaciones informáticas que garanticen la trazabilidad y seguridad de las comunicaciones, o la correcta configuración del órgano receptor y su independencia, pueden ser fundamentales para su éxito. 

 

Para intentar mitigar el riesgo y dotar de fuerza jurídica a la obligación de confidencialidad, la norma vincula esta obligación a la existencia de un régimen sancionador que contempla como una infracción muy grave la divulgación de información del denunciante a órganos no competentes para su conocimiento. De la efectiva de este sistema de confidencialidad dependerá en gran medida, nuestro juicio, el éxito de estos canales internos en el sector público.  

 

2.4. Órgano receptor y la gestión del canal por terceros

 

Un tercer elemento básico del sistema interno de denunciantes es la configuración del órgano encargado del sistema interno de denuncias. Según la Ley, éste puede ser una persona física u órgano colegiado, si bien en este caso se deberá delegar en uno de sus miembros las facultades de gestión del Sistema interno de información y de tramitación de expedientes de investigación (artículo 8). Se exige también, evidentemente, que este órgano o persona responsable goce de la suficiente autonomía con respecto al resto de órganos de gobierno, aunque de nuevo, cómo debe lograrse este objetivo de independencia queda a elección de cada entidad pública, por lo que habrá que prestar especial atención al procedimiento de implantación y los sistemas de gobernanza interna utilizados para gestionara este tipo de canales.

 

En determinados casos, además, se prevé la posibilidad de externalizar el servicio de gestión del Sistema interno de información para su gestión por un tercero externo, elementos que merece especial atención. Para ello, la norma parece contemplar dos tipos de externalización diferenciados: una en favor de una empresa o entidad privada, y otra hacia otra entidad del sector público.

 

En el primero de los escenarios, la ley prevé que las Administraciones públicas territoriales, esto es, Administración del Estado, las Administraciones autonómicas y ciudades con Estatuto de Autonomía y las Entidades que integran la Administración Local, solo podrán acordar la externalización en aquellos casos en que se acredite una insuficiencia de medios propios, conforme a lo dispuesto en el artículo 116 apartado cuarto letra f) de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (artículo 15 de la Ley 2/2023). Se trata de una exigencia que, por otro lado, es general para los contratos de servicios celebrados por Administraciones públicas, y que por tanto no supone una novedad, sino más bien un “recuerdo” o “refuerzo” de la exigencia por parte del legislador. Por otro lado, debemos ser conscientes de que este requisitos, en la práctica no actúa como un requisito excesivamente limitante.

 

Pero el propio artículo 15 contiene una limitación algo más contundente el alcance de esta externalización, al establecer que la gestión externa comprenderá únicamente el procedimiento para la recepción de las informaciones sobre infracciones y, en todo caso, tendrá carácter exclusivamente instrumental. Esto evita que la externalización del canal pueda derivar en un ejercicio de potestad o de autoridad pública por actores privados.

 

En segundo lugar, encontramos la posibilidad de cooperación interadministrativa para gestión conjunta o la delegación de la gestión de un canal interno a otra Administración. Aquí la Ley mantiene la redacción del proyecto de Ley, que ya habíamos criticado en entradas anteriores. Y es que, a mi juicio, esta redacción limita el papel que podrían jugar determinadas entidades supramunicipales en la gestión de los canales de denuncia de sus municipios, o incluso otras formas de gestión compartida de estos canales que no tienen por qué ser consideradas en sí mismas como negativas.

 

Y es que, aunque como se ha mencionado, su artículo 15 habilita con carácter general a externalizar el sistema de denuncias siempre que se justifique que no existen medios propios suficientes para su gestión, el artículo 14, que aborda la posibilidad de gestionar de manera conjunta un canal de denuncias entre varias administraciones, limita su uso a municipios de menos de 10.000 habitantes y a otras entidades del sector público con menos de 50 trabajadores. De forma que, según se desprende del texto, por encima de este umbral referido al tamaño de las entidades, no será posible “externalizar” el canal de denuncias a otra Administración, pero sí externalizarlo a un tercero en virtud de un contrato público. Esto, que en ningún caso responde a ninguna exigencia o interpretación de la normativa europea, genera ciertas contradicciones y reduce el margen de actuación de entidades públicas que podrían jugar un papel relevante en este contexto, como las Diputaciones u otros órganos supramunicipales.

 

Es el caso, en concreto, del Área Metropolitana de Barcelona, a la que en un informe de septiembre de 2021 ya propusimos, desde un grupo de investigación que entonces dirigía en la UOC, ejercer las funciones las tareas de gestión del canal interno de sus municipios en aquellos casos en los que estos no contaran con los medios técnicos o el capital humano para hacerlo.[7] De acuerdo con lo expuesto, esta propuesta no sería realizable bajo el texto actualmente en tramitación parlamentaria –al menos no para los municipios de más de 10.000 habitantes y las entidades de más de 50 trabajadores–. A mi juicio, sin embargo, asumir que por encima de 10.000 habitantes o con más de 50 trabajadores este modelo de gestión pública externalizada o compartida no sería de utilidad parece algo arriesgado/aventurado, y puede dejar a un buen número de municipios y entidades sin otra vía que la externalización privada de la gestión.

 

3.       Plazo de implantación del canal interno

 

En cuanto al plazo para la implantación efectiva del canal interno, la Ley 2/2023 establece que éste deberá estar operativo en el plazo de 3 meses desde su entrada en vigor. Es comprensible, por un lado, que el legislador otorgue máxima prioridad a una medida que es la clave de bóveda del sistema de denuncias planteado por la norma –norma que a su vez debe jugar un papel fundamental en la estrategia anticorrupción a partir de ahora. Sin embargo, la implantación efectiva en este plazo, a mi juicio, se antoja como poco realista en la mayoría de los casos.[8]

 

Es cierto que el legislador, consciente de las dificultades de los pequeños municipios y entidades del sector púbico, plantea en el apartado segundo de la disposición transitoria segunda que, para los municipios de menos de diez mil habitantes, el plazo se extenderá hasta el 1 de diciembre de 2023. Pero, de nuevo, cuesta digerir que municipios y entidades de mediano tamaño, ligeramente por encima d 10.000 habitantes o 50 trabajadores, serán capaces de implantar con tal rapidez un canal de denuncias interno completamente novedoso en nuestro sistema administrativo, con elementos altamente complejos para evaluar en su implantación como la garantía de confidencialidad, la gobernanza o, aunque la Ley 2/2023 no obliga a ello, la probable implantación de un sistema digital de gestión de denuncias.

 

Recientemente ya hemos observado los problemas que han tenido las Administraciones públicas españolas para implementar un instrumento como los Planes Antifraude, aparentemente más sencillo, con menos implicaciones jurídicas directas, y con un plazo de implementación mayor (90 días hábiles). A pesar de la labor realizada por múltiples órganos nacionales y autonómicos para proporcionar guías y modelos de Planes Antifraude, la elaboración de un buen número de ellos fue externalizada, y un notable número de entidades del sector público han aprobado estos instrumentos fuera de plazo.

 

4.       La autoridad independiente y la prohibición de contratar por incumplimiento de la Ley

 

Es de destacar, a su vez, la creación de la Autoridad Independiente de Protección del Denunciante, que será la encargada de gestionar y resolver sobre las denuncias realizadas de manera externa. El propio texto de la Ley, como ya hacía la Directiva, que los canales internos de información debe ser complementados con un canal externo, es decir, con la posibilidad de que quien conozca el hecho susceptible de ser comunicado pueda acudir a una autoridad pública que, con todas las garantías, tenga constancia del hecho informado y proceda a investigarlo y, en su caso, y pueda colaborar con el Ministerio Fiscal cuando aprecie que el hecho objeto de la comunicación es constitutivo de delito. Para ello, de entre las diferentes alternativas que ofrece nuestro ordenamiento interno el legislador considera idóneo acudir a la figura de la Autoridad Independiente de Protección del Informante, A.A.I. como pilar básico del sistema institucional en materia de protección del informante, ya que entiende que “el carácter específico de la materia hace aconsejable que las funciones que la Directiva atribuye a las autoridades competentes sean ejercidas por una Autoridad de nueva creación sin posibilidad de acudir a otras ya existentes dentro del sector público”. La AIPI se configurará así como un ente de derecho público con personalidad jurídica propia dotado de autonomía e independencia orgánica y funcional respecto del Ejecutivo y del sector público, y en su configuración jurídica se distingue, por un lado, un régimen jurídico general, y por otro ciertas singularidades, como la posibilidad de elaborar circulares y recomendaciones que establezcan los criterios y prácticas adecuadas para el cumplimiento de la ley, y la atribución del ejercicio de la potestad sancionadora.

 

En este sentido, se prevé también la posible implantación de canales externos de información por parte de las comunidades autónomas (e incluso por los cabildos insulares y las ciudades autónomas de Ceuta y Melilla). La llevanza de dichos canales externos será asumida por Autoridades independientes autonómicas análogas a la Autoridad Independiente de Protección del Informante, A.A.I. cuya competencia podrá extenderse tanto a las informaciones sobre infracciones que sean cometidas en el ámbito de las entidades del sector público autonómico y local del territorio de la correspondiente comunidad autónoma, como a las relativas a incumplimientos imputables a entidades del sector privado que produzcan efectos únicamente en el territorio de dicha comunidad autónoma.

 

Finalmente, la normativa introduce una modificación de la Ley de Contratos del sector público al modificar la letra b) del apartado 1 del artículo 71 de la Ley 9/2017, que regula una de las prohibiciones de contratar, y que queda ahora redactado como sigue:

 

«b) Haber sido sancionadas con carácter firme por infracción grave en materia profesional que ponga en entredicho su integridad, de disciplina de mercado, de falseamiento de la competencia, de integración laboral y de igualdad de oportunidades y no discriminación de las personas con discapacidad, o de extranjería, de conformidad con lo establecido en la normativa vigente; o por infracción muy grave en materia medioambiental de conformidad con lo establecido en la normativa vigente, o por infracción muy grave en materia laboral o social, de acuerdo con lo dispuesto en el texto refundido de la Ley sobre Infracciones y Sanciones en el Orden Social, aprobado por el Real Decreto Legislativo 5/2000, de 4 de agosto, así como por la infracción grave prevista en el artículo 22.2 del citado texto, o de las infracciones muy graves previstas en la Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción por la que se transpone la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.»

 

Esta modificación, junto con la redacción del artículo 65 de la Ley 2/2023, habilita a la futura AAI a imponer sanciones de hasta tres años por haber incumplido esta normativa.

 

Conviene recordar, en todo caso, que este apartado b) del artículo 71.1 viene a transponer la causa de exclusión por falta profesional grave contenida en el artículo 57.4.c) de la Directiva 2014/24 por falta profesional grave, que permite a los estados miembros y los poderes adjudicadores excluir a un operador si incurre en dicha circunstancia que, por otro lado, ha sido interpretada por el TJUE de manera amplia. Es decir, que probablemente, un incumplimiento de la normativa del denunciante por parte de una empresa ya hubiera podido ser considerado como una causa de exclusión incluso sin esta modificación normativa, que en todo caso viene a clarificar el escenario y a aportar seguridad jurídica en su aplicación práctica.[9]

 

En definitiva, se trata de un texto legal ambicioso y que está llamado a jugar un papel central en la estrategia de integridad ende las Administraciones públicas en los próximos años, pero mantiene ciertos preceptos potencialmente problemáticos, que ya habíamos señalado durante su tramitación y que se mantienen en el texto final.

 


[1] También puede consultarse el trabajo más extenso sobre la Directiva: MIRANZO DÍAZ, J. “La nueva Directiva europea de protección del denunciante: un análisis desde el derecho público” Revista General de Derecho Europeo, 49, 2019.

[2] La importancia de esta figura ya ha sido analizada en otros trabajos. Puede verse GIMENO FELIÚ, J. M. “El necesario big-bang contra la corrupción en materia de contratación pública y su modelo de control”. Revista Internacional de Transparencia e Integridad, 2, 2016; o MIRANZO DÍAZ, J. Hacia la configuración de una estrategia eficiente de integridad en la contratación pública. Aranzadi, 2020; MIRANZO DÍAZ, J. Prevención de la corrupción en contratación pública. Wolters Kluwer, 2019.

[3] Puede consultarse la respuesta de la Comisión en el Parlamento Europeo a una pregunta al respecto. https://www.europarl.europa.eu/doceo/document/E-9-2022-002602-ASW_EN.html

[4] El artículo 7.3 prevé que “Los canales internos de información permitirán incluso la presentación y posterior tramitación de comunicaciones anónimas.”

[5] El Ayuntamiento de Madrid permite solicitar información simplemente aportando un correo electrónico, y si la información solicitada no plantea problemas jurídicos se le proporcionará al interesado al correo indicado. Eso sí, en caso de que a información que pudiera estar afectada por alguno de los límites o causas de inadmisión de los artículos 14, 15 y 18 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y artículo 34 de la Ley 10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de Madrid, se le requerirán los datos de identidad para poder tramitar el procedimiento de acceso. Puede consultarse el procedimiento aquí. 

[6] En este caso, se desarrolló entre otras cosas una aplicación que, entre otras cosas, asegura la segregación de funciones entre los diferentes agentes gestores y receptores y asegura la trazabilidad de toda la información proporcionada a través de un entorno seguro y de la gestión de los accesos con códigos alfanuméricos que se proporciona a cada denunciante. Véase SÁNCHEZ SÁNCHEZ, R. “El Buzón Ético y de Buen Gobierno del Ayuntamiento de Barcelona”. El Consultor de los Ayuntamientos, 6, 2019.

[7] MIRANZO DÍAZ, J.; CERRILLO I MARTÍNEZ, A.; CASTRO CARRANZA; J.; GALINDO CALDÉS, R. “La prevención de la corrupción en la contratación pública del sector local: el caso del Área Metropolitana de Barcelona” REGO VILLAR, S. Auditoría y control de la respuesta al Covid-19 y de la implementación de la iniciativa Next Generation UE. XIV Encuentros técnicos de los OCEX de Santiago de Compostela. II Premio Carlos G. Otero Díaz, Aranzadi, 2022

[8] Otros autores, como Jiménez Asensio, la han calificado como “muy optimista”, evidenciando el “escaso realismo normatico”. Véase: https://rafaeljimenezasensio.com/2023/02/21/la-ley-2-2023-de-proteccion-del-informante-primeras-impresiones/

[9] Sobre el régimen jurídico y la problemática de la transposición y aplicación de las prohibiciones de contratar, véase MEDINA ARNÁIZ, T. Las prohibiciones de contratar desde una perspectiva europea. Aranzadi, 2018.

Colaborador