La reciente Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción contempla, en su artículo 8º, la figura de “Responsable del Sistema de Información” como “garante” de funcionamiento del sistema interno de información. Se busca con ello que exista una persona física dentro de la organización con la capacidad de actuación, la independencia de criterio y la autonomía funcional, para velar que se cumplan con las dos finalidades de la norma. Una es la protección (adecuada) frente a posibles represalias que puedan sufrir aquellas personas que informen de posibles incumplimientos. La segunda, el fortalecimiento de la cultura de la información y de la integridad de las organizaciones.[1]
Así pues, el artículo 8 de la Ley establece lo siguiente:
1. El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el competente para la designación de la persona física responsable de la gestión de dicho sistema o «Responsable del Sistema», y de su destitución o cese.
2. Si se optase por que el Responsable del Sistema fuese un órgano colegiado, este deberá delegar en uno de sus miembros las facultades de gestión del Sistema interno de información y de tramitación de expedientes de investigación.
3. Tanto el nombramiento como el cese de la persona física individualmente designada, así como de las integrantes del órgano colegiado deberán ser notificados a la Autoridad Independiente de Protección del Informante, A.A.I., o, en su caso, a las autoridades u órganos competentes de las comunidades autónomas, en el ámbito de sus respectivas competencias, en el plazo de los diez días hábiles siguientes, especificando, en el caso de su cese, las razones que han justificado el mismo.
4. El Responsable del Sistema deberá desarrollar sus funciones de forma independiente y autónoma respecto del resto de los órganos de la entidad u organismo, no podrá recibir instrucciones de ningún tipo en su ejercicio, y deberá disponer de todos los medios personales y materiales necesarios para llevarlas a cabo.
5. En el caso del sector privado, el Responsable del Sistema persona física o la entidad en quien el órgano colegiado responsable haya delegado sus funciones, será un directivo de la entidad, que ejercerá su cargo con independencia del órgano de administración o de gobierno de la misma. Cuando la naturaleza o la dimensión de las actividades de la entidad no justifiquen o permitan la existencia de un directivo Responsable del Sistema, será posible el desempeño ordinario de las funciones del puesto o cargo con las de Responsable del Sistema, tratando en todo caso de evitar posibles situaciones de conflicto de interés.
6. En las entidades u organismos en que ya existiera una persona responsable de la función de cumplimiento normativo o de políticas de integridad, cualquiera que fuese su denominación, podrá ser esta la persona designada como Responsable del Sistema, siempre que cumpla los requisitos establecidos en esta ley.
En organizaciones más grandes, la incorporación del responsable será más sencilla, debido a que la estructura organizativa y los recursos disponibles facilitarán la incorporación o creación de una función ajena al área operativa. Por otra parte, organizaciones medianas o pequeñas, en las que los recursos humanos son más bien limitados, terminarán haciendo un ejercicio de contorsionismo organizativo similar al que vemos con el nombramiento /designación de la función de Compliance.
Designación del responsable del sistema
Las dos primeras consideraciones sobre el responsable del sistema que contempla el artículo 8, son que ha de ser nombrado por el órgano de gobierno, y que ha de ser una persona física. Con estas dos obligaciones se busca garantizar que:
- El nombramiento provenga del órgano de máxima autoridad dentro de una organización, lo cual refuerza la implicación de los Administradores y directivos, es decir el tone-from-the-top. Dada la relevancia de la materia, también ha de entenderse que los órganos de gobierno no podrán delegar su responsabilidad de velar por el funcionamiento del sistema, y tendrán que exigir al responsable del sistema una adecuada rendición de cuentas.
- El hecho de que sea una persona física quien responda por la gestión del sistema y la tramitación de expedientes, permite mayor claridad respecto de la responsabilidad y evita otros riesgos como la aparición de conflictos de interés y la fuga de información.
Notificación del nombramiento
El nombramiento y el cese del Responsable del Sistema se han de realizar ante la Autoridad Independiente de Protección del Informante (AAI), o en su caso, ante las autoridades u órganos competentes de las comunidades autónomas en el ámbito de sus respectivas competencias.
La AAI tendrá un plazo de un año desde la entrada en vigor de la Ley para aprobar su Estatuto, con lo cual las organizaciones tendrán que esperar para disponer de más información respecto de cómo y ante quién hacer las notificaciones del nombramiento.
En cualquier caso, se trata de una obligación similar a las que existen en otros ámbitos del cumplimiento normativo como la prevención de blanqueo de capitales o la protección de datos, respecto de las cuales existe también obligación de designar a un responsable ante la autoridad administrativa.
Independencia y Autonomía del Responsable del Sistema de Información
Al igual que ocurre con otras figuras como la función de Compliance o el delegado de protección de datos el Responsable del Sistema de Información ha de poder actuar de forma independiente y autónoma. Es decir, ha de poder atender la gestión de los expedientes y las investigaciones sin recibir ningún tipo de instrucción, condicionamiento ni limitación por parte de la organización.
Es uno de los grandes retos para las empresas pequeñas y medianas, pues se ha de poder acreditar que el Responsable del Sistema cuenta con la capacidad para investigar y con recursos suficientes y adecuados para la gestión de los expedientes, realizar todas las investigaciones necesarias y tomar las medidas pertinentes, tanto de protección a los informantes como respecto de la integridad de la información que forma parte del expediente.
La credibilidad del sistema dependerá en buena parte de que se pueda acreditar que la independencia y la autonomía del responsable del Sistema de Información son reales. Es decir, que, si la organización designa formalmente a un responsable, contemplándose su independencia y autonomía, pero de facto no se le dota de un presupuesto para llevar a cabo sus funciones, o se le limita de alguna manera la capacidad de investigación, el acceso a información o a recursos necesarios, es muy posible que se considere que el responsable no es realmente ni independiente ni autónomo.
El Responsable del Sistema de Información, un directivo de la organización.
Por regla general, en el sector privado, el Responsable del Sistema, sea persona física o la persona en quien el órgano colegiado responsable haya delegado sus funciones, ha de ser un directivo independiente del órgano de gobierno. Sin embargo, se establece que cuando la naturaleza o dimensión de las actividades de la entidad no justifiquen o permitan la existencia de un directivo Responsable del Sistema, será posible el desempeño ordinario de las funciones del puesto o cargo, con las de Responsable del Sistema, tratando en todo caso de evitar posibles situaciones de conflicto de interés.
Entendemos que un directivo en una organización es aquella persona con el poder o función para dirigir personas o equipos, con lo cual nos referimos al lugar más alto en el organigrama, después del órgano de gobierno.
En el caso de organizaciones más grandes, deberán designar a un Responsable del Sistema que no dependa del órgano de gobierno; mientras que la excepción a la norma permite en aquellas que “la dimensión de las actividades de la entidad no lo justifiquen o permitan”, esta función podrá combinarse con aquellas ordinarias.
Este criterio permite flexibilidad en la interpretación de las dimensiones (a diferencia de lo que establece el art. 31 bis del Código Penal en lo que respecta a la posibilidad de los Administradores de asumir las funciones de supervisión y vigilancia del sistema), con lo cual considerando que el tejido empresarial está mayormente compuesto por pymes, no es de extrañar que nos encontremos con “modelos híbridos” en los cuales el Responsable del Sistema compaginará dichas funciones con otras como por ejemplo las de responsable de Cumplimiento Normativo, de Recursos Humanos, de Calidad, entre otros.
A su vez, el reto estará en establecer mecanismos que impidan el conflicto de intereses que inevitablemente ocurrirá cuando la información recibida recaiga en el mismo ámbito operativo del Responsable del Sistema.
Este modelo híbrido será especialmente delicado en el caso de directivos que sean Responsables del Sistema y a la vez que ejerzan como directores de Recursos Humanos. Además del riesgo de conflicto de interés en los casos en que las informaciones versen sobre temas laborales, es muy posible que coincidan también las funciones de gestión del expediente con la aplicación de la sanción.
Por último, la Ley establece que en entidades en las cuales ya existiera una persona responsable del cumplimiento normativo, ésta podrá ser designada como Responsable del Sistema, siempre que se cumplan los requisitos establecidos en la ley. Es decir, que se cumplan los criterios precedentemente expuestos: Que haya sido designado por el órgano de gobierno, que tenga independencia y autonomía, que se trate de una persona física o se delegue en ella la responsabilidad dentro de un órgano, y que sea un directivo. Esta posibilidad se vislumbra como la más razonable a la vez que pone de manifiesto la estrecha relación, ya señalada tanto inicio como en el propio Preámbulo de la Ley, entre la función de compliance y el Responsable del sistema de información.
Necesidad de revisión del sistema de Compliance en virtud de la Ley de Protección al Informante.
Aunque la mayoría de los sistemas de Compliance que respondan a los estándares de cumplimiento normativo (UNE 19601, ISO 37001, ISO 37301, ó ISO 37002) seguramente estarán alineados a la nueva ley, resulta conveniente revisar los aspectos formales, y en especial lo relativo al nombramiento del Responsable del Sistema.
Por otra parte, las organizaciones que aún no hayan implementado un sistema de gestión de riegos de Compliance y se encuentren dentro del supuesto de la norma (entes de la Administración Pública y empresas de más de 50 trabajadores), deberán, como mínimo, contar con un Sistema de Gestión de Información una vez se cumplan los plazos de entrada en vigor de la norma:
- En el caso de Administración Pública y empresas de más de 250 trabajadores: Deberán adecuarse en los tres meses siguientes a la entrada en vigor a la ley.
- En el caso de empresas de más de 50 trabajadores y menos de 249, y municipios con menos de 10 mil habitantes: Deberán adecuarse antes del 1 de diciembre de 2023.
En Ethical Strategists ayudamos a las organizaciones a construir y mantener un modelo de gobierno basado en la ética, la responsabilidad y la sostenibilidad mediante la promoción de la cultura de integridad en las organizaciones a través de sistemas de gestión de compliance eficaces que generan evidencia de cumplimiento. ¡Contáctanos y trabajemos juntos!
[1] La STS de fecha 29 de febrero de 2016 ya contemplaba la relevancia de la cultura de cumplimiento y de respeto a derecho, siendo la cultura de la información un elemento esencial del sistema: “Así, la determinación del actuar de la persona jurídica, relevante a efectos de la afirmación de su responsabilidad penal, ha de establecerse a partir del análisis acerca de si el delito cometido por la persona física en el seno de aquélla, ha sido posible o facilitado por la ausencia de una cultura de respeto al derecho como fuente de inspiración de la actuación de su estructura organizativa e independiente de la de cada una de las personas jurídicas que la integran, que habría de manifestarse en alguna clase de formas concretas de vigilancia y control del comportamiento de sus directivos y subordinados jerárquicos tendentes a la evitación de la comisión por éstos de los delitos”.
Comentarios recientes