¿No sabe si su organización tendrá que cumplir con la nueva ley de protección de denunciantes de la UE ? Y si debe hacerlo, ¿sabe qué tiene que hacer? La respuesta breve es que si su organización cuenta con 50 empleados o más, debe cumplirla. En este blog, le ayudaremos a determinar qué medidas debe adoptar para cumplir la ley de protección de denunciantes de la UE.

El propósito de esta ley es proteger a los denunciantes en la UE que informan sobre las conductas indebidas que detectan en su lugar de trabajo y animar a más personas a hacerlo. Los denunciantes pueden desempeñar un papel destacado en la detección y revelación de actividades corruptas, ilegales, fraudulentas y perjudiciales con grandes beneficios en todos los niveles de la sociedad.

Lista de verificación para el cumplimiento de la ley de protección de denunciantes de la UE

¿Ya tiene en marcha un sistema de denuncias?

SÍ: Empieza con buen pie. Continúe con la lista de verificación de obligaciones legales que encontrará más abajo.
NO: Contacte con WhistleB para hablar sobre el sistema de denuncias que mejor se adapte a sus necesidades.

Confidencialidad de la identidad del denunciant

La ley establece: Los procedimientos de notificación y seguimiento de las notificaciones incluirán canales para recibir notificaciones que estén diseñados, configurados y operados de un modo seguro que garantice la confidencialidad de la identidad tanto de la persona que notifica como de cualquier tercero mencionado en la notificación y que evite el acceso a miembros del personal no autorizados.

  1. ¿Su sistema de denuncias permite que la identidad del denunciante siga siendo confidencial?
  2. ¿Puede abrir el sistema a partes externas para que también proteja sus identidades?
  3. ¿Las identidades están protegidas durante todo el proceso (es decir, desde la notificación hasta que el caso se archive)?
  4. ¿El acceso a su sistema de gestión de casos cuenta con la seguridad adecuada, por ejemplo, con una autenticación multifactor para los miembros del personal?
  5. ¿Hay terceros que se encarguen de someter su sistema a pruebas de vulnerabilidad y penetración?

Tiempos de respuesta

La ley establece: Los procedimientos de notificación y seguimiento de las notificaciones incluirán un acuse de recibo de la notificación enviado a la persona que notifica en un plazo máximo de siete días desde la recepción.

  1. ¿Su sistema de denuncias envía de manera automática e inmediata una notificación al denunciante para confirmar la recepción al tiempo que mantiene el anonimato del denunciante?
  2. ¿Es posible avisar al equipo de se encarga de tratar las denuncias de inmediato en caso de recibir una notificación?
  3. ¿Su sistema puede ampliarse para absorber un aumento en el número de notificaciones, si fuera necesario?
  4. ¿Puede crear mensajes de respuesta estándar?
  5. ¿Dispone de un equipo/persona que se encargue de recibir las notificaciones?

Personas de contacto

La ley establece: Los procedimientos para la notificación y seguimiento de las notificaciones incluirán la designación de una persona o departamento imparcial y capacitado para el seguimiento de las notificaciones (...) y que mantendrá la comunicación con el denunciante y, si fuera necesario, solicitará más información al denunciante y le facilitará los comentarios correspondientes.

  1. ¿Cuenta con recursos adecuados para hacer un seguimiento de las notificaciones de la manera apropiada?
  2. ¿Su sistema le permite añadir las competencias necesarias para cada caso?
  3. ¿Dispone de un sistema y de las habilidades y rutinas necesarias para gestionar las investigaciones?
  4. ¿Su canal de denuncias le permite añadir expertos externos de manera segura en el proceso de gestión de los casos?

Seguimiento

La ley establece: Los procedimientos para la notificación y seguimiento de las notificaciones incluirán el seguimiento diligente de la notificación por parte de la persona o departamento designado, el seguimiento diligente, cuando así se disponga en la legislación nacional, de las notificaciones anónimas y un margen de tiempo razonable para ofrecer información sobre el seguimiento de la notificación a la persona que notifica.

  1. ¿Dispone de un canal a través del cual el denunciante pueda añadir imágenes, vídeos, documentos de texto y otros formatos de archivo, y que limpie los metadatos?
  2. ¿Su sistema de denuncias incluye una herramienta de gestión de casos que esté integrada en el canal de notificación?
  3. ¿Su canal de denuncias permite mantener un diálogo con el denunciante, sea o no anónimo?
  4. ¿Su sistema admite una asistencia segura con las traducciones para permitir la comunicación en varios idiomas?

Comunicación e información

La ley establece: Los procedimientos para la notificación y seguimiento de las notificaciones incluirán información clara y de fácil acceso sobre las condiciones y procedimientos para la notificación externa a autoridades competentes y, si procede, a instituciones, organismos, oficinas o agencias de la Unión Europea.

  1. ¿Proporciona información clara y de fácil acceso a los empleados sobre cómo y dónde pueden comunicar inquietudes, incluyendo las opciones para la notificación externa?
  2. ¿Esta información está adaptada a cada país en el que opera?
  3. ¿La información está disponible de manera automática al acceder a su sistema de denuncias?
  4. ¿Sus documentos de políticas, Código de conducta y materiales de formación correspondientes están actualizados para informar a los empleados sobre qué tipo de comportamiento, como «represalias», incumpliría la Directiva para la protección de denunciantes de la UE?

Cumplimiento del RGPD

La ley establece: Cualquier tratamiento de datos personales llevado a cabo en virtud de la Directiva debe cumplir el RGPD

  1. ¿Su sistema de denuncias cumple plenamente con el RGPD en todos los países de la UE en los que opera?
  2. ¿Su sistema permite la eliminación de datos personales de manera automática cuando se cierra el caso?
  3. ¿Informa correctamente a los posibles usuarios sobre las diferencias nacionales en materia de notificación?

Almacenado de registros

La ley establece: Las autoridades y las entidades jurídicas públicas y privadas deben mantener registros de todas las notificaciones recibidas conforme a los requisitos de confidencialidad estipulados. Las notificaciones no deben almacenarse más tiempo del que sea necesario y proporcionado.

  1. ¿Su sistema mantiene un registro de usuarios y casos de cada caso?
  2. ¿Su sistema permite la eliminación de datos personales conforme al RGPD?

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.