La nueva Ley afecta a todos aquellos agentes de aduana que hagan B/L, guías aéreas o cartas de porte, o estén certificados OEA.

En el Boletín Oficial del Estado, núm. 44 de fecha 21 de febrero de 2023, se publica la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

La ley tiene por objeto otorgar una protección adecuada a las personas físicas frente a represalias que puedan sufrir por informar sobre acciones u omisiones que supongan infracción normativa nacional y comunitaria con relevancia penal o administrativa.

Esta Ley afecta a todas las asociaciones y colegios profesionales, así como a los OEA, consignatarios de buques, armadores, agentes Autorizados AESA, embarcadores, transitarios, agentes de aduanas que actúen como cargadores (shippers). Es decir, afecta a todos aquellos agentes de aduana que hagan B/L, guías aéreas o cartas de porte, o estén certificados OEA.

La Ley establece dos tipos de canales de comunicación; el interno de la organización y el externo, a través de la Autoridad Independiente de Protección al Informante.

Esta ley se aplicará a los informantes que trabajen en el sector privado o público y que hayan obtenido información sobre infracciones en un contexto laboral o profesional, comprendiendo:

• las personas que tengan la condición de empleados públicos o trabajadores por cuenta ajena;
• los autónomos;
• los accionistas, partícipes y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa, incluidos los miembros no ejecutivos;
• cualquier persona que trabaje para o bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores.

Las entidades que están obligadas a disponer un Sistema interno de información son:

• Las personas físicas o jurídicas del sector privado que tengan contratados 50 o más trabajadores.
• Las personas jurídicas del sector privado que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente deberán disponer de un Sistema interno de información que se regulará por su normativa específica con independencia del número de trabajadores con que cuenten. En estos casos, esta ley será de aplicación en lo no regulado por su normativa específica.
• Se considerarán incluidas en el párrafo anterior las personas jurídicas que, pese a no tener su domicilio en territorio nacional, desarrollen en España actividades a través de sucursales o agentes o mediante prestación de servicios sin establecimiento permanente.

Sistema interno de información

El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el responsable de la implantación del Sistema interno de información, previa consulta con la representación legal de las personas trabajadoras, y tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales.

Requisitos del Sistema interno de información:

• Permitir a todas las personas referidas en el apartado de ámbito de aplicación comunicar información sobre las infracciones previstas en el ámbito material de aplicación.
• Contar con un responsable del sistema.
• Estar diseñado, establecido y gestionado de una forma segura, de modo que se garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, y de las actuaciones que se desarrollen en la gestión y tramitación de esta, así como la protección de datos, impidiendo el acceso de personal no autorizado.
• Permitir la presentación de comunicaciones por escrito o verbalmente, o de ambos modos.

La gestión del Sistema interno de información se podrá llevar a cabo dentro de la propia entidad u organismo o acudiendo a un tercero externo, en los términos previstos en la ley, que exige en todo caso que este ofrezca garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto de las comunicaciones.

Canal interno de información

El canal interno deberá permitir realizar comunicaciones por escrito o verbalmente, o de las dos formas. La información se podrá realizar bien por escrito, a través de correo postal o a través de cualquier medio electrónico habilitado al efecto, o verbalmente, por vía telefónica o a través de sistema de mensajería de voz.

Las comunicaciones verbales, incluidas las realizadas a través de reunión presencial, telefónicamente o mediante sistema de mensajería de voz, deberán documentarse de alguna de las maneras siguientes, previo consentimiento del informante:

• mediante una grabación de la conversación en un formato seguro, duradero y accesible, o
• a través de una transcripción completa y exacta de la conversación realizada por el personal responsable de tratarla.

En el caso del sector privado, el responsable del Sistema persona física o la entidad en quien el órgano colegiado responsable haya delegado sus funciones, será un directivo de la entidad, que ejercerá su cargo con independencia del órgano de administración o de gobierno de esta.

Régimen sancionador

El ejercicio de la potestad sancionadora prevista en esta ley corresponde a la Autoridad Independiente de Protección del Informante, A.A. y a los órganos competentes de las comunidades autónomas.

Se establecen infracciones muy graves, graves y leves, cuyas sanciones dependerán de si se trata de una persona física (sanciones de entre 1001 a 10.000 euros para infracciones leves; de 10.001 a 30.000 euros sanciones graves y de 30.001 a 300.000 euros las sanciones muy graves), o si se es persona jurídica (sanciones hasta 100.000 euros para infracciones leves, entre 100.001 y 600.000 euros para infracciones graves) y entre 600.001 y 1.000.000 de euros para infracciones muy graves).

No tener un sistema interno de información se considera infracción muy grave.

Entrada en vigor

La presente ley entrará en vigor a los veinte días de su publicación en el BOE.

Las entidades obligadas a contar con un sistema interno de información tendrán que implementarlo como máximo a los 3 meses desde la entrada en vigor de la Ley; esto es el próximo 13 de junio de 2023. Como excepción, en el caso de entidades jurídicas del sector privado con 249 personas o menos, así como de los municipios menores de 10.000 habitantes, el plazo se extiende hasta el 1 de diciembre de 2023.