← España

En resumen

Esta ley busca proteger a las personas que, en un contexto laboral o profesional, informan sobre infracciones penales o administrativas graves o muy graves, tanto del Derecho de la Unión Europea como del ordenamiento jurídico español. Su objetivo principal es fomentar la colaboración ciudadana para el buen funcionamiento de las instituciones y la persecución de quienes quebrantan la ley.

Qué regula

A quién concierne

Puntos clave

📄 Texto legal
200 ok FELIPE VI REY DE ESPAÑA A todos los que la presente vieren y entendieren. Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente ley: PREÁMBULO I La colaboración ciudadana resulta indispensable para la eficacia del Derecho. Tal colaboración no sólo se manifiesta en el correcto cumplimiento personal de las obligaciones que a cada uno corresponden, manifestación de la sujeción de todos los poderes públicos y de la ciudadanía a la Constitución Española y al resto del ordenamiento jurídico (artículo 9.1 de la Constitución Española), sino que también se extiende al compromiso colectivo con el buen funcionamiento de las instituciones públicas y privadas. Dicha colaboración ciudadana es un elemento clave en nuestro Estado de Derecho y, además, se contempla en nuestro ordenamiento como un deber de todo ciudadano cuando presencie la comisión de un delito, tal y como como recoge la Ley de Enjuiciamiento Criminal. Dicho deber, al servicio de la protección del interés público cuando éste resulta amenazado, debe ser tomado en consideración en los casos de colisión con otros deberes previstos en el ordenamiento jurídico. Asimismo, nuestro ordenamiento jurídico contempla la participación ciudadana en acciones públicas con el fin de impulsar la investigación sobre actuaciones contrarias a la normativa urbanística, sobre actividades que puedan perjudicar el medioambiente o para evitar daños en el patrimonio histórico-artístico. Estos son otros ejemplos que cuentan con una larga tradición en la legislación española. En el mismo sentido y coincidiendo con el impulso del Derecho de la Unión Europea, algunas regulaciones sectoriales, de manera especial en el ámbito financiero o de defensa de la competencia, han incorporado instrumentos específicos para que, quienes conocen de actuaciones irregulares o ilegales, puedan facilitar a los organismos supervisores datos e información útiles. Además, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, contempla la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión, en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Por otra parte, son muchos los ejemplos de actuaciones cívicas que advirtieron de la existencia de prácticas irregulares y de corrupción que han permitido impulsar investigaciones que, previa la tramitación del procedimiento judicial legalmente establecido, han concluido con la imposición de la correspondiente condena penal por tales comportamientos. No obstante, también ha de advertirse que, en ocasiones, esos loables comportamientos cívicos han generado consecuencias penosas para quienes han comunicado tales prácticas corruptas y otras infracciones, como son las presiones por parte de los denunciados, por lo que resulta indispensable que el ordenamiento jurídico proteja a la ciudadanía cuando muestra una conducta valiente de clara utilidad pública. Además, resulta importante asentar en la sociedad la conciencia de que debe perseguirse a quienes quebrantan la ley y que no deben consentirse ni silenciarse los incumplimientos. Esta es la principal finalidad de esta ley: proteger a los ciudadanos que informan sobre vulneraciones del ordenamiento jurídico en el marco de una relación profesional. También es preciso recordar que, en línea con la corriente existente en el mundo anglosajón, que regula desde hace años la protección de los denominados «whistleblowers» –quien usa el silbato para dar alerta– algunas comunidades autónomas ya han regulado instituciones que se ocupan de recibir comunicaciones de ciudadanos informando de irregularidades. A título de ejemplo y sin perjuicio de las autoridades creadas por algunas entidades locales, cabe recordar que las comunidades autónomas de Cataluña, Valenciana, Illes Balears, Navarra, Principado de Asturias o Andalucía han abordado la cuestión de la protección de los denunciantes, si bien la regulación ha sido parcial y centrada fundamentalmente en la creación de oficinas o agencias con la específica función de prevenir e investigar casos de uso o destino fraudulentos de fondos públicos, aprovechamientos ilícitos derivados de actuaciones que comporten conflictos de intereses o uso de información privilegiada, o en general conductas contrarias a la integridad; es decir, han circunscrito esta legislación al ámbito público, con carácter previo en algunos casos a la Directiva 2019/1937. La expresión «alertadores» ha sido acogida en algunos ordenamientos como el francés. En la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, se emplea el término «denunciantes», y en esta ley se ha optado por la denominación «informante». Asimismo, se ha optado por emplear los términos «informaciones» y «comunicaciones» indistintamente para, de acuerdo con una redacción gramatical y sintáctica adecuada, evitar repeticiones. II Con la aprobación de esta ley se incorpora al Derecho español la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019. Las diferencias de tratamiento entre los distintos regímenes jurídicos existentes en los Estados miembros han generado dificultades a la hora de asegurar una aplicación coherente del Derecho europeo y perseguir sus infracciones. Para ello, la citada Directiva regula aspectos mínimos que han de satisfacer los distintos cauces de información a través de los cuales una persona física que sea conocedora en un contexto laboral de una infracción del Derecho de la Unión Europea, pueda dar a conocer la existencia de la misma. En concreto, obliga a contar con canales internos de información a muchas empresas y entidades públicas porque se considera, y así también se ha recogido en informes y estadísticas recabados durante la elaboración del texto europeo, que es preferible que la información sobre prácticas irregulares se conozca por la propia organización para corregirlas o reparar lo antes posible los daños. Además de tales canales internos, exige la Directiva la determinación de otros canales de información, denominados «externos», con el fin de ofrecer a los ciudadanos una comunicación con una autoridad pública especializada, lo que les puede generar más confianza al disipar su temor a sufrir alguna represalia en su entorno. Estos dos claros objetivos de la Directiva, proteger a los informantes y establecer las normas mínimas de los canales de información, se incorporan en el contenido de esta ley. La ley se estructura en 68 artículos, seis disposiciones adicionales, tres disposiciones transitorias y doce disposiciones finales. III El título I precisa la finalidad y el ámbito de aplicación de la ley. La finalidad de la norma es la de proteger a las personas que en un contexto laboral o profesional detecten infracciones penales o administrativas graves o muy graves y las comuniquen mediante los mecanismos regulados en la misma. Por lo que se refiere a su ámbito de aplicación, además de proteger a quienes informen sobre las infracciones del Derecho de la Unión previstas en la Directiva del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, esta ley abarca también las infracciones penales y administrativas graves y muy graves de nuestro ordenamiento jurídico. Se ha considerado necesario, por tanto, ampliar el ámbito material de la Directiva a las infracciones del ordenamiento nacional, pero limitado a las penales y a las administrativas graves o muy graves para permitir que tanto los canales internos de información como los externos puedan concentrar su actividad investigadora en las vulneraciones que se considera que afectan con mayor impacto al conjunto de la sociedad. Asimismo, se excluyen del ámbito de aplicación material los supuestos que se rigen por su normativa específica, esto es, aquella que regula los mecanismos para informar sobre infracciones y proteger a los informantes previstas por leyes sectoriales o por los instrumentos de la Unión Europea enumerados en la parte II del anexo de la Directiva (UE) 2019/1937. La buena fe, la conciencia honesta de que se han producido o pueden producirse hechos graves perjudiciales constituye un requisito indispensable para la protección del informante. Esa buena fe es la expresión de su comportamiento cívico y se contrapone a otras actuaciones que, por el contrario, resulta indispensable excluir de la protección, tales como la remisión de informaciones falsas o tergiversadas, así como aquellas que se han obtenido de manera ilícita. Junto a la descripción del ámbito objetivo de aplicación, precisa la ley el ámbito subjetivo, esto es, las personas que están protegidas frente a posibles represalias. Así, se extiende la protección a todas aquellas personas que tienen vínculos profesionales o laborales con entidades tanto del sector público como del sector privado, aquellas que ya han finalizado su relación profesional, voluntarios, trabajadores en prácticas o en período de formación, personas que participan en procesos de selección. También se extiende el amparo de la ley a las personas que prestan asistencia a los informantes, a las personas de su entorno que puedan sufrir represalias, así como a las personas jurídicas propiedad del informante, entre otras. El título II de la ley contiene el régimen jurídico del Sistema interno de información que abarca tanto el canal, entendido como buzón o cauce para recepción de la información, como el Responsable del Sistema y el procedimiento. El Sistema interno de información debería utilizarse de manera preferente para canalizar la información, pues una actuación diligente y eficaz en el seno de la propia organización podría paralizar las consecuencias perjudiciales de las actuaciones investigadas. No obstante, declarada esta preferencia, el informante puede elegir el cauce a seguir, interno o externo, según las circunstancias y los riesgos de represalias que considere. En este título se dedica un primer capítulo a las disposiciones aplicables tanto en el sector público como en el privado. La configuración del Sistema interno de información debe reunir determinados requisitos, entre otros, su uso asequible, las garantías de confidencialidad, las prácticas correctas de seguimiento, investigación y protección del informante. Asimismo, resulta indispensable para la eficacia del Sistema interno de información la designación del responsable de su correcto funcionamiento. Se ha de destacar que se permite la comunicación anónima. Cuando se traslade una comunicación en el marco del Sistema interno de información, que entre dentro del ámbito de aplicación de la ley, se aplicará la regla específica contenida en esta ley en cuanto a la posibilidad de presentación y tramitación de comunicaciones anónimas. La Directiva establece como principio el deber general de mantener al informante en el anonimato. Ahora bien, este pilar esencial de la norma europea se exceptúa cuando, bien una norma nacional prevé revelarlo, o bien se solicita en el marco de un proceso judicial, lo que ocurre en muchas ocasiones, argumentando el juzgador la necesidad de conocer la identidad de quien denunció, para garantizar el derecho de defensa del denunciado. Así, en su considerando 34 se señala: «Sin perjuicio de las obligaciones vigentes de disponer la denuncia anónima en virtud del Derecho de la Unión, debe ser posible para los Estados miembros decidir si se requiere a las entidades jurídicas de los sectores privado y público y a las autoridades competentes que acepten y sigan denuncias anónimas de infracciones que entren en el ámbito de aplicación de la presente Directiva». Y en el artículo 6.2 se establece: «Sin perjuicio de la obligación vigente de disponer de mecanismos de denuncia anónima en virtud del Derecho de la Unión, la presente Directiva no afectará a la facultad de los Estados miembros de decidir si se exige o no a las entidades jurídicas de los sectores privado o público y a las autoridades competentes aceptar y seguir las denuncias anónimas de infracciones». Conforme al artículo 9.1.e) también se prevé «el seguimiento diligente cuando así lo establezca el Derecho nacional en lo que respecta a las denuncias anónimas». En este sentido, una opción de política legislativa, fruto de los modelos comparados a nivel internacional y europeo, ha sido, al igual que en la normativa de protección de datos personales, regular las informaciones anónimas y proteger a la persona que las comunica. Un hito esencial en la admisión de la denuncia anónima lo constituye la Convención de las Naciones Unidas contra la corrupción, hecha en Nueva York el 31 de octubre de 2003, que establece en su artículo 13.2: «Cada Estado Parte adoptará medidas apropiadas para garantizar que el público tenga conocimiento de los órganos pertinentes de lucha contra la corrupción mencionados en la presente Convención y facilitará el acceso a dichos órganos, cuando proceda, para la denuncia, incluso anónima, de cualesquiera incidentes que puedan considerarse constitutivos de un delito tipificado con arreglo a la presente Convención». El Consejo de la Unión Europea, en su Decisión de 25 de septiembre de 2008, en nombre de la entonces Comunidad Europea, aprobó la Convención de las Naciones Unidas contra la Corrupción. Asimismo, en ámbitos sectoriales de la Unión Europea hay que destacar el artículo 5.1 del Reglamento (UE, EURATOM) n.º 883/2013 del Parlamento Europeo y del Consejo, de 11 de septiembre de 2013 relativo a las investigaciones efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF) y por el que se deroga el Reglamento (CE) n.º 1073/1999, que dispone que «el director general podrá iniciar una investigación cuando haya sospecha suficiente, que puede también basarse en información proporcionada por una tercera parte o por información anónima, de que se ha incurrido en fraude, corrupción u otra actividad ilegal en detrimento de los intereses financieros de la Unión». Cabe destacar que el antiguo órgano asesor de la Comisión Europea en materia de protección de datos, el Grupo de trabajo del artículo 29 (GT29), en su Dictamen 1/2006 relativo a la «aplicación de las normas sobre protección de datos de la UE a los sistemas internos de denuncia de irregularidades en los ámbitos de la contabilidad, controles y cuestiones de auditoría, lucha contra la corrupción y delitos financieros y bancarios», establecía como regla general que el denunciante debía identificarse, pero también existía la posibilidad de recibir y tramitar denuncias anónimas en determinadas circunstancias. Como se puede observar, desde las instituciones de la Unión Europea se ha apostado sin ambages por la posibilidad de la aceptación y seguimiento de las denuncias anónimas. A tales efectos, se puede acceder a una herramienta de «denuncia anónima» de irregularidades para ayudar a la Comisión Europea a descubrir cárteles y otras infracciones antimonopolio y sobre tales prácticas anticompetitivas prohibidas por la normativa de competencia de la Unión Europea, que causan daños considerables a la economía europea. En lo que se refiere a la normativa vigente en el ámbito nacional son diversos los ámbitos en los que ya se ha regulado la posibilidad de denuncias anónimas. En septiembre de 2018, a través del Real Decreto-ley 11/2018, de 31 de agosto, se introdujo en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, el actual artículo 26 bis en el que se regulan los procedimientos internos de comunicación de potenciales incumplimientos (canales de denuncias internas) para que sus empleados, directivos o agentes puedan comunicar, incluso anónimamente, información relevante sobre posibles incumplimientos de esta ley, su normativa de desarrollo o las políticas y procedimientos implantados para darles cumplimiento, cometidos en el seno del sujeto obligado. En otro ámbito, la mencionada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, establece en su artículo 24.1: «Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable». Con anterioridad y en ámbitos diversos se había reconocido la posibilidad de presentar anónimamente denuncias: en la Ley Orgánica 12/2007, de 22 de octubre, del régimen disciplinario de la Guardia Civil se contempla la posibilidad de que la denuncia anónima pueda dar lugar al menos al inicio de una «información reservada». De otro lado, la Fiscalía General del Estado en su Circular de 4/2013, de 30 de diciembre, sobre las diligencias de investigación, actualiza la consideración sobre las denuncias anónimas. Señala que, aunque las denuncias deben en principio cumplimentar los requisitos previstos en la Ley de Enjuiciamiento Criminal para ser tenidas como tales, el incumplimiento de alguno de ellos no ha de llevar a su inadmisión si se están poniendo de manifiesto hechos constitutivos de delito perseguibles de oficio con visos de verosimilitud. La iniciación por puesta en conocimiento de otras autoridades u organismos públicos es cada vez más frecuente. El afianzamiento esencial, no obstante, se contiene en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, tal como se ha indicado con anterioridad, en concreto en su artículo 24.1. Estos canales de denuncias, mediante el anonimato, han colaborado a instituir un instrumento esencial para la «compliance» de una empresa y ha sido fundamental para poder recibir denuncias graves que de otra manera las personas trabajadoras y los colaboradores no se atreverían a señalar por temor a represalias en caso de ser identificados. Algunas comunidades autónomas igualmente han extendido su protección a las denuncias anónimas y han establecido canales para su recepción. La ley diferencia la extensión de la obligación de configurar estos canales internos en el ámbito de las organizaciones privadas de las que pertenecen al sector público. En el ámbito privado, siguiendo la previsión de la Directiva, estarán obligadas a configurar un Sistema interno de información todas aquellas empresas que tengan más de cincuenta trabajadores. En los grupos de empresas será la sociedad dominante la que pueda implantar los principios y políticas que inspiren la organización del Sistema para la adecuada organización y coordinación de los canales en cada una de las entidades que forman parte de aquel. Siendo conscientes del coste que esta nueva carga pueda generar en las empresas, la ley admite que aquellas que, superando la cifra de cincuenta trabajadores cuenten con menos de doscientos cincuenta, puedan compartir medios y recursos para la gestión de las informaciones que reciban, quedando siempre clara la existencia de canales propios en cada empresa. No obstante, con independencia del número de empleados, se obliga a contar con un Sistema interno de información a todos los partidos políticos, sindicatos, organizaciones empresariales, así como a las fundaciones que de los mismos dependan, siempre que reciban fondos públicos para su financiación. La razón de esta exigencia se ampara en el singular papel constitucional que tienen estas organizaciones tal y como proclaman los artículos 6 y 7 de la Constitución Española, como manifestación del pluralismo político y vehículo de defensa y protección de los intereses económicos y sociales que les son propios, respectivamente. La existencia de casos de corrupción que han afectado a algunas de estas organizaciones incrementa la preocupación entre la ciudadanía por el recto funcionamiento de las instituciones, por lo que resulta indispensable exigir a estas organizaciones una actitud ejemplar que asiente la confianza en ellos de la sociedad pues de ello depende en buena medida el adecuado funcionamiento del sistema democrático. De ahí la obligación de que se configure, con independencia del número de trabajadores, un Sistema interno de información para atajar con rapidez cualquier indicio de infracción penal o administrativa grave o muy grave contra el interés general. La generalización de un Sistema interno de información facilitará la erradicación de cualquier sospecha de nepotismo, clientelismo, derroche de fondos públicos, financiación irregular u otras prácticas corruptas. Con relación al sector público, la ley ha extendido en toda su amplitud la obligación de contar con un Sistema interno de información. En consecuencia, han de configurar tal Sistema las Administraciones públicas, ya sean territoriales o institucionales, las autoridades independientes u otros organismos que gestionan los servicios de la Seguridad Social, las universidades, las sociedades y fundaciones pertenecientes al sector público, así como las corporaciones de Derecho Público. En el mismo sentido, se impone también contar con un Sistema interno de información a todos los órganos constitucionales y de relevancia constitucional, así como aquellos mencionados en los Estatutos de Autonomía. Como se advierte, preocupa que todas las instituciones, organismos y otras personificaciones que ejercen funciones públicas tengan un sistema eficaz para detectar las prácticas irregulares descritas en esta norma, sin que a estos efectos parezca relevante el tamaño de la entidad o el ámbito territorial en el que ejerza sus competencias. Así, si bien es cierto que la Directiva atribuye a los Estados miembros la decisión de dispensar de algunas obligaciones a los municipios de menos de diez mil habitantes, esta ley no contempla esta excepción. En consecuencia, atendiendo a la necesidad de ofrecer un marco común y general de protección de los informantes, de no facilitar resquicios que puedan dañar gravemente el interés general, se extiende a todos los municipios la obligación de contar con un Sistema interno de información. Ahora bien, tal obligación se acompaña de ciertas precisiones con el fin de facilitar su cumplimiento a aquellos municipios cuya población no supere los diez mil habitantes. La ley permite que estos municipios puedan compartir medios para la recepción de informaciones con otras Administraciones que ejerzan sus competencias en la misma comunidad autónoma. Esta posibilidad no exime de que cada administración local tenga un responsable de su sistema interno de informaciones. En todo caso, hay que insistir en que se considera adecuado que cada municipio cuente con su propio sistema interno de información y de ahí que se destaque la asistencia que pueden prestar otras Administraciones territoriales. Por otra parte, se prevé que la gestión material del Sistema interno de información se realice mediante modalidades de gestión indirecta, si bien la atribución por parte de las Administraciones territoriales a un tercero de la gestión del Sistema interno de información requerirá que acrediten la insuficiencia de medios propios para poder realizar la función. Conviene destacar que la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPAC), aplicable con carácter básico a todos los procedimientos administrativos, establece que toda comunicación de hechos que puedan constituir una infracción ha de ser considerada como una denuncia (artículo 62.1 LPAC). El título III de la ley regula el canal externo de información. Reconoce acertadamente la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, que uno de los principales factores que desalienta a los potenciales informantes es la falta de confianza en la eficacia de las comunicaciones. Por ello, la norma europea impone a los Estados miembros la obligación de establecer canales de comunicación externa adecuados, de modo que su actuación esté presidida por los principios de independencia y autonomía en la recepción y tratamiento de la información sobre las infracciones. Dotar de independencia y autonomía al canal o canales de comunicación externa pasa por garantizar la exhaustividad, integridad y confidencialidad de la información, impedir el acceso a ella por el personal no autorizado y permitir un almacenamiento duradero de la misma. Con el fin de dar cumplimiento a los objetivos perseguidos por la Unión Europea y ahondar en la protección del informante, esta ley procede a la implementación de un canal externo cuya llevanza corresponde a la Autoridad Independiente de Protección del Informante, A.A.I. prevista en el título VIII. Se considera beneficioso que la habilitación de dicho canal, como medio complementario al canal interno, se encauce a través de la Autoridad Independiente de Protección del Informante, A.A.I., dotándolo, así, de las garantías de independencia y autonomía exigidas por la norma europea. El título III aborda de manera sistemática la regulación específica del canal externo ante el que podrán informar las personas físicas a las que se refiere el artículo 3 de la ley, ya sea directamente, ya con posterioridad a la previa formulación de información ante el canal interno. Tras detallar el procedimiento de recepción de las comunicaciones, que pueden llevarse a cabo de forma anónima o con reserva de la identidad del informante, y de su forma, escrita o verbal, el articulado de la norma aborda el trámite de admisión, en el que después de un análisis preliminar, se decide sobre su admisión a trámite, inadmisión motivada si concurre alguna de las causas tasadas que a tal efecto se prevén, comunicación inmediata al Ministerio Fiscal si la conducta pudiera ser constitutiva de delito o remisión a otra Autoridad u Organismo que pudiera resultar competente para la tramitación de la comunicación. Admitida a trámite la comunicación, comienza la fase instructora, que culminará mediante la emisión de un informe por la Autoridad Independiente de Protección del Informante. Emitido el informe, la Autoridad Independiente de Protección del Informante podrá acordar el archivo del expediente; el inicio del procedimiento sancionador, sin perjuicio de poner los hechos en conocimiento del Ministerio Fiscal si, pese a no apreciar inicialmente indicios de que los hechos pudieran revestir el carácter de delito, así resultase del curso de la instrucción, o de la Fiscalía Europea cuando resulten afectados los intereses financieros de la Unión Europea, en su caso; o la remisión de la información a otra autoridad u organismo competente, si así procede. En línea con la Directiva 2019/1937, se ha considerado adecuado que el plazo para la realización de las investigaciones y para dar respuesta al informante no se dilate más de lo estrictamente necesario, razón por la que el plazo para finalizar esta fase de instrucción no puede ser superior a tres meses. Finalmente, cabe destacar que la resolución que adopte la Autoridad Independiente de Protección del Informante, A.A.I. no podrá ser objeto de recurso alguno, ni administrativo ni jurisdiccional, sin perjuicio de la posible impugnación de la resolución que ponga fin al procedimiento sancionador que se pudiera incoar a raíz de las investigaciones realizadas. Debe tenerse en cuenta que el informante por el hecho de comunicar la existencia de una infracción penal o administrativa no tiene la condición de interesado, sino de colaborador con la Administración. De manera que las investigaciones que lleve a cabo tanto en el marco del Sistema interno de información del sector público como en el marco del procedimiento que desarrolla la Autoridad Independiente de Protección del Informante, A.A.I. se inician siempre de oficio y de conformidad con el procedimiento establecido en la LPAC. Asimismo, prevé el título III el conjunto de derechos y garantías que ostenta el informante en el procedimiento de comunicación externa ante la Autoridad Independiente de Protección del Informante, A.A.I. y la exigencia de revisión de los procedimientos de recepción y seguimiento de informaciones, dando así cumplimiento al mandato de la Directiva. Por último, conviene destacar la posible implantación de canales externos de información por parte de las comunidades autónomas. La llevanza de dichos canales externos será asumida por autoridades independientes autonómicas análogas a la Autoridad Independiente de Protección del Informante, A.A.I. cuya competencia podrá extenderse tanto a las informaciones sobre infracciones que, comprendidas en el ámbito de aplicación de esta ley, sean cometidas en el ámbito de las entidades del sector público autonómico y local del territorio de la correspondiente comunidad autónoma, como a las relativas a incumplimientos imputables a entidades del sector privado que produzcan efectos únicamente en el territorio de dicha comunidad autónoma. El título IV contiene disposiciones comunes a las comunicaciones internas y externas, en línea con el capítulo V de la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019. Se regula la obligación de proporcionar información adecuada de forma clara y fácilmente accesible sobre los canales de comunicación interna y externa, como medio y garantía para un mejor conocimiento de los canales que establece esta ley. El título V se ocupa de la revelación pública. Los informantes que utilizan los cauces internos y externos cuentan con un régimen específico de protección frente a las represalias. La protección a quien realiza una revelación pública, con condiciones, se asienta, entre otras causas, en las garantías y protección que ofrece la opinión pública en su conjunto amparando a quien muestra una actitud cívica a la hora de advertir ante posibles infracciones penales o administrativas graves o vulneraciones del ordenamiento jurídico que dañan el interés general, así como en la protección de las fuentes que mantienen los periodistas. Existen situaciones en que resulta conveniente proteger también a estas personas y la ley, siguiendo las directrices europeas, precisa las condiciones que deben concurrir para extender el régimen de protección; así, por ejemplo, dicha protección se contempla cuando los cauces internos y externos no han funcionado o cuando se advierte una amenaza inminente para el interés general, tales como un vertido muy tóxico u otros riesgos contaminantes. En este sentido, se destaca que la propia Directiva, en sus considerandos 45 y 46 otorga especial reconocimiento a los supuestos de protección relacionados con los derechos a la libertad de información y al periodismo de investigación, que en nuestro ordenamiento se reconocen constitucionalmente. Así, el Considerando 45 declara que «La protección frente a represalias como medio de salvaguardar la libertad de expresión y la libertad y el pluralismo de los medios de comunicación debe otorgarse tanto a las personas que comunican información sobre actos u omisiones en una organización (“denuncia interna”) o a una autoridad externa (“denuncia externa”) como a las personas que ponen dicha información a disposición del público, por ejemplo, directamente a través de plataformas web o de redes sociales, o a medios de comunicación, cargos electos, organizaciones de la sociedad civil, sindicatos u organizaciones profesionales y empresariales». Por su parte, el Considerando 46 alude a la importancia de los denunciantes como fuentes importantes para los periodistas de investigación y crucial para salvaguardar la función de guardián que el periodismo de investigación desempeña en las sociedades democráticas. El título VI regula el régimen del tratamiento de datos personales que deriven de la aplicación de esta ley. El artículo 17 de la Directiva impone que todo tratamiento de datos personales realizado en aplicación de la misma se realizará de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y con la Directiva (UE) 2016/680. En este mismo sentido esta ley dispone que los tratamientos de datos personales deberán regirse por lo dispuesto en dicho Reglamento y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Hasta ahora el artículo 24 de la citada ley orgánica regulaba la creación y mantenimiento de sistemas de información internos. El contenido de dicho precepto se ha incorporado a esta ley, pero era necesario completar las previsiones hasta ahora incluidas en la ley orgánica al objeto de extenderlas también a los tratamientos de datos que se lleven a cabo en los canales de comunicación externos y en los supuestos de revelación pública. Asimismo, y de acuerdo con lo que establece el artículo 6 del Reglamento general de protección de datos, procede indicar los títulos que hacen lícito el tratamiento de datos personales. Los tratamientos se entenderán necesarios para el cumplimiento de una obligación legal cuando deban llevarse a cabo en los supuestos en que sea obligatorio disponer de un Sistema interno de información y en los casos de canales de comunicación externos, mientras que se presumirán válidos al amparo de lo que establece el artículo 6.1.e) del Reglamento general de protección de datos cuando aquel sistema no sea obligatorio o el tratamiento se lleve a cabo en el ámbito de la revelación pública que regula el título V. Se indica asimismo que en caso de que la persona investigada ejerza el derecho de oposición al tratamiento de sus datos personales se entiende que existen motivos legítimos imperiosos que legitiman continuar con dicho tratamiento, tal como permite el artículo 21.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. La ley también regula determinadas condiciones especiales en relación con los tratamientos de datos al objeto de garantizar plenamente el derecho a la protección de datos y en particular la identidad de los informantes y de las personas investigadas por la información suministrada. La preservación de la identidad del informante es una de las premisas esenciales para garantizar la efectividad de la protección que persigue esta ley. De ahí que se exija que en todo momento deba ser garantizada. En esta línea se dispone que el dato de la identidad del informante nunca será objeto del derecho de acceso a datos personales y se limita la posibilidad de comunicación de dicha identidad sólo a la autoridad judicial, el Ministerio Fiscal o la autoridad administrativa competente exigiendo que en todo caso se impida el acceso por terceros a la misma. Por otra parte, se exige que las entidades obligadas a disponer de un Sistema interno de información, los terceros externos que en su caso lo gestionen y la Autoridad Independiente de Protección de Datos, A.A.I. así como las que en su caso se constituyan, cuenten con un delegado de protección de datos. El título VII constituye, como ya se ha anticipado, el eje de la ley, las medidas de protección para amparar a aquellas personas que mantienen una actitud cívica y de respeto democrático al alertar sobre infracciones graves que dañan el interés general. Ha de conseguirse que nadie esté amedrentado ante futuros perjuicios. De ahí que la primera medida sea la contundente declaración de prohibir y declarar nulas aquellas conductas que puedan calificarse de represalias y se adopten dentro de los dos años siguientes a ultimar las investigaciones. En este sentido, la ley ofrece varios supuestos, sin ningún ánimo exhaustivo, que muestran conductas intolerables hacia los informantes: resolución de contratos, intimidaciones, trato desfavorable, daños reputacionales, etc. La necesidad de garantizar la buena aplicación del ordenamiento hace que queden sin efecto cualesquiera cláusulas o disposiciones contractuales que impidan o pretendan limitar el derecho o la capacidad de informar, tales como cláusulas de confidencialidad o disposiciones que reflejan renuncias expresas; así como que se exima de responsabilidad ante la obtención de información relevante o que se invierta la carga de la prueba en aquellos procesos que inicie para exigir la reparación de daños. En fin, los informantes contarán con el apoyo necesario de la Autoridad Independiente de Protección del Informante, A.A.I. para que las medidas de protección establecidas en esta ley resulten eficaces. Pero las medidas de protección no se dirigen sólo a favor de los informantes. También aquellas personas a las que se refieran los hechos relatados en la comunicación han de contar con una singular protección ante el riesgo de que la información, aun con aparentes visos de veracidad, haya sido manipulada, sea falsa o responda a motivaciones que el Derecho no puede amparar. Estas personas mantienen todos sus derechos de tutela judicial y defensa, de acceso al expediente, de confidencialidad y reserva de identidad y la presunción de inocencia; en fin, de los mismos derechos que goza el informante. Las ventajas y eficacia que han demostrado los programas de clemencia en ciertos ámbitos sectoriales han llevado a incluir una regulación en la que se precisan las concretas condiciones para su correcta aplicación. El título VIII regula la Autoridad Independiente de Protección del Informante, A.A.I. Una sociedad democráticamente avanzada ha de proteger adecuadamente a aquellas personas que, comunicando las irregularidades de las que, en su entorno laboral o profesional, tenga conocimiento, las publicite, permitiendo, de ese modo, a los poderes públicos actuar, pudiendo poner fin a la actividad ilícita advertida cuando ésta afecte al interés general. Y es una cuestión de liderazgo avanzar en esa línea, como hace la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, que es objeto de trasposición mediante esta ley. Solo habrá una adecuada protección del denominado «whistleblower» si, en primer lugar, existe no solo el deber de comunicar conductas ilícitas de las que tenga conocimiento, sino además un sistema que permita canalizar las informaciones, lo que implica la implementación, por parte de las entidades públicas y privadas, de canales que permitan al que entra en contacto con la organización revelar la información de que dispone y que pueda constituir un ilícito susceptible de afectar al interés general. Ese canal interno de información al que hemos hecho referencia en párrafos anteriores debe garantizar, si queremos que salgan a la luz los comportamientos reprobables, la confidencialidad del informante, en todo caso, siendo aconsejable prever, además, el anonimato del mismo. No hay mejor forma de proteger al que informa que garantizando su anonimato. Dicho canal interno de información debe ser complementado con un canal externo, es decir, con la posibilidad de que quien conozca el hecho susceptible de ser comunicado con arreglo a esta norma pueda acudir a una autoridad pública que, con todas las garantías, tenga constancia del hecho informado y proceda a investigarlo y, en su caso, pueda colaborar con el Ministerio Fiscal cuando aprecie que el hecho objeto de la comunicación es constitutivo de delito. Garantizar una adecuada protección del informante exige, en cumplimiento de la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, que España disponga de un completo marco normativo-institucional con el que dar respuesta eficaz a la necesidad de protección de quienes informan sobre infracciones del ordenamiento jurídico que afectan o menoscaban el interés general. Una adecuada y eficaz respuesta normativa aconseja articular de manera conjunta y, por tanto, mediante la utilización del mismo instrumento normativo, el nuevo régimen jurídico aplicable a la protección del informante y el cauce institucional idóneo que garantice su plena operatividad. El considerando 64 de la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019 deja al prudente criterio de los Estados miembros determinar qué autoridades son competentes para recibir la información sobre infracciones que entren en el ámbito de aplicación de la misma y seguir adecuadamente las denuncias. Entre las diferentes alternativas que ofrece nuestro ordenamiento interno se considera idóneo acudir a la figura de la Autoridad Independiente de Protección del Informante, A.A.I. como pilar básico del sistema institucional en materia de protección del informante. Su particular naturaleza y encaje institucional en el sector público permitirá canalizar satisfactoriamente el conjunto de funciones que la Directiva atribuye a las autoridades competentes de cada Estado miembro. Entre las diversas posibilidades abiertas en el reto de afrontar eficazmente la trasposición de la Directiva, el carácter independiente y la autonomía de que gozan este tipo de entes del sector público se considera la mejor forma de instrumentar el engranaje institucional de la protección del informante, excluyendo otras alternativas con menor independencia del poder ejecutivo y permitiendo, en definitiva, que sea una entidad de nueva creación la que garantice la funcionalidad del sistema, una entidad independiente de quien la nombra y de la Administración Pública, que atienda, en el ejercicio de sus funciones, a criterios de naturaleza técnica. De otro lado, el carácter específico de la materia hace igualmente aconsejable que las funciones que la Directiva atribuye a las autoridades competentes sean ejercidas por una autoridad de nueva creación sin posibilidad de acudir a otras ya existentes dentro del sector público. Además, resulta determinante a efectos de la creación de una nueva autoridad, la articulación, en cumplimiento de la Directiva, de un canal externo de información que complementa los canales internos (tanto en el sector privado como público). Resulta de especial interés que sea una entidad que bajo un especial régimen de autonomía y con un marcado carácter técnico y especializado en la materia sea la encargada de la llevanza y gestión del citado canal externo. Lo hasta ahora expuesto, unido al conjunto de funciones que la Directiva obliga a asumir a las autoridades competentes en materia de protección al informante y junto a otras que van más allá del contenido de la norma europea y cuya inclusión radica en una mayor garantía y extensión de la protección del informante, aconsejan que sea una autoridad independiente específica la que asuma este conjunto de competencias, y sirva, en definitiva, de pilar institucional esencial en la lucha contra la corrupción. Para ello el título VIII de la norma aborda, como se ha señalado, la autorización para la creación de la Autoridad Independiente de Protección del Informante, A.A.I. como ente de derecho público con personalidad jurídica propia dotado de autonomía e independencia orgánica y funcional respecto del Ejecutivo y del sector público, así como de toda entidad cuya actividad pueda ser sometida a su supervisión. Estructurado en tres capítulos, el primero de ellos recoge la naturaleza y funciones de la Autoridad Independiente de Protección del Informante, A.A.I.: llevanza del canal externo de comunicaciones, asunción de la condición de órgano consultivo y de asesoramiento del Gobierno en materia de protección del informante, elaboración de modelos de prevención de delito en el ámbito público, asunción de la competencia sancionadora en la materia, entre otros. El capítulo II del título VIII desarrolla el régimen jurídico a que se somete la nueva Autoridad, distinguiendo el régimen jurídico general a que somete su actividad y las singularidades que presenta en materia de personal, de contratación, patrimonial, de asistencia jurídica, presupuestario, de contabilidad y de control económico-financiero. Dentro de estas particularidades, se ha considerado necesario dotar al ente de dos potestades menos frecuentes, pero totalmente necesarias, en orden a la consecución de los objetivos a que obedece la trasposición de la Directiva. De un lado, la posibilidad de que la propia Autoridad Independiente de Protección del Informante, A.A.I. pueda elaborar circulares y recomendaciones que establezcan los criterios y prácticas adecuadas para el cumplimiento de las disposiciones contenidas en esta ley y las normas que la desarrollen. De otro lado, la ley atribuye el ejercicio de la potestad sancionadora (prevista en el título IX de la norma), a la Autoridad Independiente de Protección del Informante, A.A.I., dando así cumplimiento a la exigencia de atribución de potestad por norma legal (o reglamentaria) contenida en la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público. Finalmente, el capítulo III del título VIII recoge el régimen de organización interna de la entidad. Se prevé la existencia de una Presidencia, órgano de gobierno de la Autoridad, que tendrá como órgano de asesoramiento una Comisión Consultiva, de marcado carácter técnico por su composición, muchos de cuyos vocales son natos, por razón del cargo, procedentes bien de la Administración Pública, bien de organismos reguladores o supervisores. La protección integral del informante exige no dejar espacios de impunidad. Este principio de actuación, que conecta directamente con el liderazgo que ha de operar como eje mediador de idoneidad del sistema que se propone, unido a la concepción de nuestro Estado como espacio público compartido, obliga a permitir que se acuda al canal externo de informaciones a través de la Autoridad Independiente de Protección del Informante, A.A.I. en aquellos territorios que no hayan previsto la creación de Autoridades o la atribución a órganos propios de su comunidad autónoma y dentro de sus competencias. De ese modo la Autoridad Independiente de Protección del Informante, A.A.I. podrá tramitar las comunicaciones que se reciban a través de su canal externo que afecten al ámbito competencial de aquellas comunidades autónomas que así lo decidan y suscriban el correspondiente convenio, y aquellas otras que no prevean órganos propios que canalicen, en su ámbito competencial, las comunicaciones externas. Posibilidad ésta que cumple con la doctrina del Tribunal Constitucional, expuesta en la sentencia 130/2013, al indicar que «en casos como los que contemplamos, las disposiciones del Estado que establezcan reglas destinadas a permitir la ejecución de los Reglamentos comunitarios en España y que no puedan considerarse normas básicas o de coordinación, tienen un carácter supletorio de las que pueden dictar las comunidades autónomas para los mismos fines de sus competencias. Sin olvidar que la cláusula de supletoriedad del artículo 149.3 de la Constitución Española no constituye una cláusula universal atributiva de competencias, en tales casos, la posibilidad de que el Estado dicte normas innovadoras de carácter supletorio está plenamente justificada». El texto articulado se cierra con un título IX que establece el régimen sancionador, necesario para combatir con eficacia aquellas actuaciones que impliquen represalias contra los informantes, así como los incumplimientos en el establecimiento de las reglas de los canales de comunicación. Concluye la ley con seis disposiciones adicionales relativas a la revisión periódica de los procedimientos de recepción y seguimiento de las comunicaciones por las autoridades responsables, a los convenios que puedan suscribir Estado y comunidades autónomas para atribuir a la Autoridad Independiente de Protección del Informante, A.A.I. competencias de gestión del canal externo de comunicaciones en el ámbito autonómico correspondiente, la elaboración de una memoria anual y de información estadística agregada, a la administración de los Territorios Históricos del País Vasco, a la Estrategia contra la corrupción y a la extensión de las medidas de protección; tres disposiciones transitorias para regular los canales internos de información ya habilitados y la adaptación de los Sistemas internos de información ya existentes y la implantación de dichos sistemas, con carácter general, por los sujetos obligados en el plazo de tres meses, así como la previsión presupuestaria de la Autoridad Independiente y, por último, doce disposiciones finales por las que se modifican, entre otras, la Ley 1/1996, de 10 de enero, de asistencia jurídica gratuita; la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa para incluir a la nueva Autoridad Independiente de Protección del Informante, A.A.I.; la Ley 15/2007, de 3 de julio, de Defensa de la Competencia; la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo; la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito; la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014; la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales, a los efectos del tratamiento de datos para la protección de las personas que informen sobre infracciones normativas, los títulos competenciales en los que se ampara la ley, la incorporación de la Directiva (EU) 2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, al ordenamiento jurídico interno; una cláusula de habilitación normativa y su entrada en vigor. TÍTULO I Finalidad de la ley y ámbito de aplicación Artículo 1. Finalidad de la ley. 1. La presente ley tiene por finalidad otorgar una protección adecuada frente a las represalias que puedan sufrir las personas físicas que informen sobre alguna de las acciones u omisiones a que se refiere el artículo 2, a través de los procedimientos previstos en la misma. 2. También tiene como finalidad el fortalecimiento de la cultura de la información, de las infraestructuras de integridad de las organizaciones y el fomento de la cultura de la información o comunicación como mecanismo para prevenir y detectar amenazas al interés público. Artículo 2. Ámbito material de aplicación. 1. La presente ley protege a las personas físicas que informen, a través de alguno de los procedimientos previstos en ella de: a) Cualesquiera acciones u omisiones que puedan constituir infracciones del Derecho de la Unión Europea siempre que: 1.º Entren dentro del ámbito de aplicación de los actos de la Unión Europea enumerados en el anexo de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, con independencia de la calificación que de las mismas realice el ordenamiento jurídico interno; 2.º Afecten a los intereses financieros de la Unión Europea tal y como se contemplan en el artículo 325 del Tratado de Funcionamiento de la Unión Europea (TFUE); o 3.º Incidan en el mercado interior, tal y como se contempla en el artículo 26, apartado 2 del TFUE, incluidas las infracciones de las normas de la Unión Europea en materia de competencia y ayudas otorgadas por los Estados, así como las infracciones relativas al mercado interior en relación con los actos que infrinjan las normas del impuesto sobre sociedades o con prácticas cuya finalidad sea obtener una ventaja fiscal que desvirtúe el objeto o la finalidad de la legislación aplicable al impuesto sobre sociedades. b) Acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave. En todo caso, se entenderán comprendidas todas aquellas infracciones penales o administrativas graves o muy graves que impliquen quebranto económico para la Hacienda Pública y para la Seguridad Social. 2. Esta protección no excluirá la aplicación de las normas relativas al proceso penal, incluyendo las diligencias de investigación. 3. La protección prevista en esta ley para las personas trabajadoras que informen sobre infracciones del Derecho laboral en materia de seguridad y salud en el trabajo, se entiende sin perjuicio de la establecida en su normativa específica. 4. La protección prevista en esta ley no será de aplicación a las informaciones que afecten a la información clasificada. Tampoco afectará a las obligaciones que resultan de la protección del secreto profesional de los profesionales de la medicina y de la abogacía, del deber de confidencialidad de las Fuerzas y Cuerpos de Seguridad en el ámbito de sus actuaciones, así como del secreto de las deliberaciones judiciales. 5. No se aplicarán las previsiones de esta ley a las informaciones relativas a infracciones en la tramitación de procedimientos de contratación que contengan información clasificada o que hayan sido declarados secretos o reservados, o aquellos cuya ejecución deba ir acompañada de medidas de seguridad especiales conforme a la legislación vigente, o en los que lo exija la protección de intereses esenciales para la seguridad del Estado. 6. En el supuesto de información o revelación pública de alguna de las infracciones a las que se refiere la parte II del anexo de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, resultará de aplicación la normativa específica sobre comunicación de infracciones en dichas materias. Artículo 3. Ámbito personal de aplicación. 1. La presente ley se aplicará a los informantes que trabajen en el sector privado o público y que hayan obtenido información sobre infracciones en un contexto laboral o profesional, comprendiendo en todo caso: a) las personas que tengan la condición de empleados públicos o trabajadores por cuenta ajena; b) los autónomos; c) los accionistas, partícipes y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa, incluidos los miembros no ejecutivos; d) cualquier persona que trabaje para o bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores. 2. La presente ley también se aplicará a los informantes que comuniquen o revelen públicamente información sobre infracciones obtenida en el marco de una relación laboral o estatutaria ya finalizada, voluntarios, becarios, trabajadores en periodos de formación con independencia de que perciban o no una remuneración, así como a aquellos cuya relación laboral todavía no haya comenzado, en los casos en que la información sobre infracciones haya sido obtenida durante el proceso de selección o de negociación precontractual. 3. Las medidas de protección del informante previstas en el título VII también se aplicarán, en su caso, específicamente a los representantes legales de las personas trabajadoras en el ejercicio de sus funciones de asesoramiento y apoyo al informante. 4. Las medidas de protección del informante previstas en el título VII también se aplicarán, en su caso, a: a) personas físicas que, en el marco de la organización en la que preste servicios el informante, asistan al mismo en el proceso, b) personas físicas que estén relacionadas con el informante y que puedan sufrir represalias, como compañeros de trabajo o familiares del informante, y c) personas jurídicas, para las que trabaje o con las que mantenga cualquier otro tipo de relación en un contexto laboral o en las que ostente una participación significativa. A estos efectos, se entiende que la participación en el capital o en los derechos de voto correspondientes a acciones o participaciones es significativa cuando, por su proporción, permite a la persona que la posea tener capacidad de influencia en la persona jurídica participada. TÍTULO II Sistema interno de información CAPÍTULO I Disposiciones generales Artículo 4. Comunicación de infracciones a través del Sistema interno de información. 1. El Sistema interno de información es el cauce preferente para informar sobre las acciones u omisiones previstas en el artículo 2, siempre que se pueda tratar de manera efectiva la infracción y si el denunciante considera que no hay riesgo de represalia. 2. Las personas jurídicas obligadas por las disposiciones del presente título dispondrán de un Sistema interno de información en los términos establecidos en esta ley. Artículo 5. Sistema interno de información. 1. El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el responsable de la implantación del Sistema interno de información, previa consulta con la representación legal de las personas trabajadoras, y tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales. 2. El Sistema interno de información, en cualquiera de sus fórmulas de gestión, deberá: a) Permitir a todas las personas referidas en el artículo 3 comunicar información sobre las infracciones previstas en el artículo 2. b) Estar diseñado, establecido y gestionado de una forma segura, de modo que se garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, y de las actuaciones que se desarrollen en la gestión y tramitación de la misma, así como la protección de datos, impidiendo el acceso de personal no autorizado. c) Permitir la presentación de comunicaciones por escrito o verbalmente, o de ambos modos. d) Integrar los distintos canales internos de información que pudieran establecerse dentro de la entidad. e) Garantizar que las comunicaciones presentadas puedan tratarse de manera efectiva dentro de la correspondiente entidad u organismo con el objetivo de que el primero en conocer la posible irregularidad sea la propia entidad u organismo. f) Ser independientes y aparecer diferenciados respecto de los sistemas internos de información de otras entidades u organismos, sin perjuicio de lo establecido en los artículos 12 y 14. g) Contar con un responsable del sistema en los términos previstos en el artículo 8. h) Contar con una política o estrategia que enuncie los principios generales en materia de Sistemas interno de información y defensa del informante y que sea debidamente publicitada en el seno de la entidad u organismo. i) Contar con un procedimiento de gestión de las informaciones recibidas. j) Establecer las garantías para la protección de los informantes en el ámbito de la propia entidad u organismo, respetando, en todo caso, lo dispuesto en el artículo 9. Artículo 6. Gestión del Sistema interno de información por tercero externo. 1. La gestión del Sistema interno de información se podrá llevar a cabo dentro de la propia entidad u organismo o acudiendo a un tercero externo, en los términos previstos en esta ley. A estos efectos, se considera gestión del Sistema la recepción de informaciones. 2. La gestión del sistema por un tercero externo exigirá en todo caso que este ofrezca garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto de las comunicaciones. La existencia de corresponsables del tratamiento de datos personales requiere la previa suscripción del acuerdo regulado en el artículo 26 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la prot …

🔗 A la fuente oficial

Explicación por IA a partir del texto oficial de la ley. Orientativa, no sustituye asesoramiento legal.