lunes, 27 de febrero de 2023

Doce líneas fuerza sobre los sistemas internos de información

"Da la impresión de que la construcción de los sistemas de integridad pública se hace por entregas inconexas, que van añadiendo exigencias normativas sin aparente hilo conductor: principios éticos TREBP; transparencia y código de buen gobierno LTAIPBG; medidas antifraude en la gestión de fondos europeos del RMRR y del PRTR; y ahora los canales de denuncias y la protección del denunciante"

Por Rafael Jiménez Asensio. La Mirada Institucional blog.- La publicación en el BOE de la esperada Ley 2/2023, de 20 de febrero, de protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (LPINF, en lo sucesivo), es sin duda una novedad importante que introduce obligaciones más o menos inmediatas a determinadas empresas y a todas las Administraciones Públicas y entidades de su sector público, órganos constitucionales y estatutarios y autoridades independientes, así como a partidos políticos, sindicatos y asociaciones empresariales.

El objeto de esta entrada es poner de relieve doce ideas fuerza en lo que respecta a los sistemas de internos de información en el ámbito del sector público (pues tratar también su aplicación al sector privado la haría aún más extensa). Tampoco se busque aquí una valoración general de la citada Ley, que ya fue hecha en un primer y temprano momento (véase: https://rafaeljimenezasensio.com/2023/02/21/la-ley-2-2023-de-proteccion-del-informante-primeras-impresiones/).

1.- UN SISTEMA DE INTEGRIDAD INSTITUCIONAL DESORDENADO Y POR ETAPAS. Una vez más, el desorden normativo es nuestra pauta común de actuación. Da la impresión de que la construcción de los sistemas de integridad pública se hace por entregas inconexas, que van añadiendo exigencias normativas sin aparente hilo conductor: principios éticos TREBP; transparencia y código de buen gobierno LTAIPBG; medidas antifraude en la gestión de fondos europeos del RMRR y del PRTR; y ahora los canales de denuncias y la protección del denunciante por exigencia de la Directiva (UE) 2019/1937 y su transposición por medio de la LPINF. En vez de articular un Sistema de Integridad Institucional holístico, vamos siempre a impulsos de las Leyes y de las exigencias de la UE.

2.- LA REGULACIÓN DEL SISTEMA INTERNO DE INFORMACIÓN (1). Dada su aplicación al sector privado y al público, el Título II de la LPINF se articula sistemáticamente en 3 Capítulos que tienen por objeto la regulación de un pomposo Sistema interno de información (SIINF), que contrasta con la mayor discreción terminológica de los canales externos, diseñados de forma mucho más efectiva en cuanto a las garantías del denunciante y efectividad de la información. El primero recoge las disposiciones generales aplicables tanto al sector privado como público (aunque algunas de ellas se matizan en este caso, como son las normas relativas a la gestión del sistema interno de información por tercero externo); el segundo se ocupa de las reglas aplicables al sector privado; mientras que el tercero tiene por objeto las reglas específicas aplicables al sector público.

3.- LA REGULACIÓN DEL SISTEMA INTERNO DE INFORMACIÓN (2). Pero, en verdad, el alcance regulatorio y sus posibilidades de desarrollo de ese SIINF no acaban en lo expuesto, pues hay constantes referencias y no pocas normas que afectan al SIINF en otros muchos pasajes de la Ley. Sin ir más lejos, son de aplicabilidad en lo que al SIINF respecta: la subsidiariedad de los canales externos; el título IV relativo a la publicidad de la información y Registro de Informaciones; las importantes referencias del Título VI a la Protección de datos personales en esas denuncias (un punto crucial para que el sistema genere una mínima confianza en su uso); las medidas de protección recogidas en el Título VII, con la excepción, en su caso, de la obligatoriedad de las medidas de apoyo, y con las modulaciones de los supuestos de exención y atenuación de la sanción cuando sean aplicadas por las autoridades independientes, que tienen el monopolio en lo que al régimen sancionador de la Ley afecta, sin perjuicio de las facultades disciplinarias en el ámbito interno de que disponga cada Administración Pública; así como las medidas transitorias en lo que afecta a la aplicación del SIINF, que al final de esta entrada se tratan.

4.- LA PRETENDIDA “PREFERENCIA” DEL SISTEMA INTERNO DE INFORMACIÓN. Siguiendo el carácter “fundamental” que la Directiva (UE) 2019/1937, de protección del denunciante, otorgaba a “los canales de denuncia interna”, en cuanto que su proximidad a la fuente del problema permite mejor (algo de lo que cabe dudar) su investigación y remedio (considerando 47), la LPINF va más lejos y configura al SIINF como “el cauce preferente” para tramitar las denuncias o informaciones. Bien es cierto que, según establece el propio artículo 4.1 LPINF, esa pretendida “preferencia” será tal “siempre que se pueda tratar de una manera efectiva la infracción y si el denunciante considera que no hay riesgo de represalias”. Olvida la ley, sin embargo, que es el denunciante quien optará por uno u otro canal, interno o externo, en función de su propia valoración y de los riesgos que corra (y no conviene orillar nunca nuestra altísima politización de las estructuras de la alta Administración Pública, que jugará en contra para que esos canales –como dice la Directiva- generen confianza y sean efectivos).

5.- LOS CUATRO ELEMENTOS BÁSICOS DEL SISTEMA INTERNO DE INFORMACIÓN. EL IMPULSO DE LA CREACIÓN DEL SISTEMA POR EL ÓRGANO DE GOBIERNO. La LPINF prevé cuatro piezas o elementos básicos que integran el SIINF: 1) El órgano de gobierno impulsor; 2) El responsable del SIINF; 3) El canal interno de Información (CIF); y 4) El procedimiento de gestión de informaciones. Así, en primer lugar, compete al órgano de gobierno de cada entidad impulsar la implantación del SIINF, que tendrá así, por tanto, la condición de responsable a efectos de la aplicación, en su caso, de algunas conductas infractoras y de sus consiguientes sanciones (que no son menores), pues el incumplimiento de la obligación de disponer de un SIINF se tipifica como infracción muy grave (otra cosa es cuándo estará creada efectivamente la Autoridad Independiente de Protección del Informante para hacer efectivas tales previsiones; aunque en las CCAA que ya tienen Agencias antifraude la aplicabilidad de la Ley parece ser inmediata tras su entrada en vigor, con lo que las asimetrías territoriales aplicativas podrían resultar intolerables en términos comparativos).

6.- FINALIDADES A LAS QUE DEBE DAR RESPUESTA EL SISTEMA INTERNO DE INFORMACIÓN. La LPINF, por tanto, establece en su artículo 6.2 un conjunto de finalidades y obligaciones a las que deberá dar respuesta esa SIINF que el órgano de gobierno impulse, que no procede ahora detallar, pero entre las que se encuentran, por ejemplo, la definición de un procedimiento de gestión de informaciones recibidas y articular un sistema de garantías de protección de los informantes, de acuerdo con lo establecido en el artículo 9 LPINF, que luego se detallan sus líneas generales. Lo cierto es que si se atiende a ambos preceptos lo que parece obvio es que en las Administraciones Públicas la creación de esos SIINF y, especialmente, la aprobación de los procedimientos de gestión de informaciones se configuran con un contenido, en principio, no solo organizativo, sino que también de concreción de normas de procedimiento que podrían llegar a afectar al papel del denunciante (al invocarse en estos casos un perjuicio patrimonial a la Administración, tal como prevé el artículo 62.2 LPAC) y a garantías de terceros. Tal como señala el preámbulo, “toda comunicación de hechos que pueda constituir una infracción ha de ser considerada como una denuncia” (artículo 62.2 LPAC)”. Y tal actuación da lugar, por tanto a un procedimiento, que se habrá que regular en sus detalles, pues la Ley no lo define (a diferencia del previsto para los canales externos). Por tanto, la opción más prudente para crear el SIINF sería elaborar, tramitar y aprobar la creación del SIINF a través de una disposición general de naturaleza reglamentaria. Y, si así se hiciera, los plazos previstos en la disposición transitoria segunda, uno, son de muy difícil cumplimiento. Tempus fugit.

7.- LA FIGURA DEL RESPONSABLE DEL SISTEMA INTERNO DE INFORMACIÓN. La LPIINF prevé en su artículo 7 la obligación de que el órgano de gobierno designe un responsable del sistema. Asimismo, prevé la competencia de que lo pueda cesar y sustituir, en su caso. Con lo cual, la autonomía e independencia en el ejercicio de sus funciones que se predica en la norma, se pone en tela de juicio por la misma norma. El responsable debe ser una persona física, y si la atribución se hace a un órgano colegiado este deberá delegar en uno de sus miembros tal responsabilidad. Ni que decir tiene que ese diseño institucional abre la puerta de par en par a que el puesto de trabajo que ocupe ese responsable del sistema se configure como libre designación. Y si solo se le atribuyen tareas de responsable del sistema a otro puesto de trabajo existente previamente, tal asignación será discrecional y el cese o destitución en el ejercicio de las mismas, también. Mal empieza el modelo legal de SIINF para hacer efectiva esa necesaria confianza de los informantes en tal estructura. Este puede ser uno de los puntos de fuga que haga fracasar esa pretendida preferencia de los sistemas internos de información sobre los externos. La única limitación que se pone es que tanto el nombramiento como el cese de estos responsables sea comunicado en el plazo de diez días a la Autoridad Independiente competente, justificando sus razones. Veremos si tales conductas, cuando lo sean de obstrucción o impeditivas de la necesaria independencia o autonomía funcional de tales responsables, se pueden subsumir en los tipos de infracciones establecidas en el Título IX de la Ley. De momento, no se ha establecido un tipo específico de infracción para potenciales abusos o arbitrariedades en los ceses, pudiendo ser incorporado el hecho en algún tipo más genérico o, en su caso, quedando la aplicación de la cláusula residual de las infracciones leves (artículo 63.3 c) LPINF). Asimismo, se prevé expresamente que si la entidad pública dispone de un responsable de cumplimiento (por ejemplo, en empresas públicas o fundaciones) o de un responsable de políticas de integridad, tal persona pueda asumir las funciones de responsable del sistema. Nada se dice si eso mismo cabe hacer en el caso del DPD, lo que dadas las diferencias funcionales entre ambas figuras puede ser más discutible.

8.- EL CANAL INTERNO DE INFORMACIÓN Y SU “MULTICANALIDAD”. Otro elemento clave del SIINF es, sin duda, el canal interno de información, que debe estar integrado en aquel. Bajo el esquema de la Directiva, se opta por un modelo multicanal, en el que caben todas las opciones de comunicación, verbales y escritas, telemáticas y (cabe presumir) en papel (por mayores garantías de confidencialidad), y con un régimen más restrictivo (amparándose en la propia directiva, “en un plazo razonable”) mediante reunión presencial, que la LPI establece en un plazo máximo de siete días. No interesa adentrarse en las modalidades de presentación de las denuncias, pero su puesta en práctica, dado que la Ley parece optar por las comunicaciones exclusiva o preferentemente telemáticas, con la salvedad ya expuesta, o el sistema ofrece garantías absolutas de que esos datos personales del denunciante están blindados (lo cual no es fácil por las variadas posibilidades de acceso que ofrece, a determinados responsables o encargados, el artículo 32 de acceder al SIINF). La opción es, siempre que se dude de la confidencialidad y seguridad del sistema (más aún cuando puede estar gestionado instrumentalmente por externos), realizar la denuncia de forma anónima, que la ley (recogiendo el margen de configuración de la Directiva) prevé de forma expresa. La denuncia anónima impide, en todo caso, pedir información adicional o precisiones. La duda es si esas denuncias anónimas podrán ser formuladas también en papel, sin dejar huella digital, dirigidas al responsable del sistema, o si se obligará a que se efectúe exclusivamente por medios telemáticos y cerrando incluso el acceso al sistema solo a los empleados públicos (y no, por ejemplo, a los directivos o cargos públicos, así como a los contratistas, subcontratistas, proveedores, etc.), lo que significaría mutilar las potencialidades que ese canal interno tiene, limitando también los canales de información en la lucha contra la corrupción. No han quedado precisamente claros todos estos puntos en la Ley. Y ello no es buena noticia en el combate contra las irregularidades y el fraude. Ese canal interno de información cabe que pueda ser gestionado externamente, pero en el caso del sector público solo podrá acordarse en aquellos casos en que se acredite insuficiencia de medios propios (artículo 116, 4 f) LCPS), y en ese caso solo se puede proyectar sobre el procedimiento para la recepción de informaciones sobre infracciones, con un carácter meramente instrumental.

9.- EL PROCEDIMIENTO DE GESTIÓN DE INFORMACIONES. El último elemento del SIINF es el procedimiento de gestión de informaciones, regulado en el artículo 9. La competencia para aprobarlo es del órgano de gobierno y la obligación de que responda a una “tramitación diligente” compete al responsable del Sistema. Como es obvio, ese procedimiento debe ajustarse a lo establecido en la Ley, así como en la propia LPAC (preámbulo) y el legislador establece unas previsiones mínimas que se recogen en el artículo 9.2 LPINF. Al ser una normativa que se aplica tanto al sector privado como público la concreción no es precisamente su atributo, salvo en lo que respecta a los plazos (acuse de recibo 7 días, respuesta a los 3 meses máximo, ampliación como máximo otros 3 meses cuando la complejidad del asunto lo requiera), así como algunas reglas específicas que tienen que ver con el derecho de la persona afectada (denunciado) a ser oído en cualquier momento, la garantía de confidencialidad cuando la comunicación sea canalizada por otros medios (lo que parece admitir implícitamente la comunicación en papel) o ante personas no responsables de su tratamiento, debiendo advertir de la tipificación como falta muy grave la quiebra de la confidencialidad, con obligación de remitirla al Responsable del Sistema. Asimismo, se reconoce la presunción de inocencia del denunciado, el pleno respeto al derecho a la protección de datos personales y, en fin, la obligación de comunicar, en su caso, al Ministerio Fiscal o la Fiscalía Europea cuando los hechos derivados de la denuncia puedan ser constitutivos de delito.

10.- MEDIOS COMPARTIDOS PARA IMPLANTAR EL SISTEMA INTERNO DE INFORMACIÓN. Una de las singularidades que en el campo del sector público se regula en la Ley estriba en lo que se denomina como medios compartidos en el sector público; esto es, la posibilidad que se abre (también en el sector privado para empresas de menos de 250 trabajadores) de que los municipios de menos de 10.000 habitantes, ya sea entre sí o con cualesquiera otras Administraciones Públicas del territorio autonómico, puedan compartir el SIINF y los recursos destinados a las investigaciones y las tramitaciones. También se abre esta posibilidad a las entidades del sector público, en relación con su Administración matriz, siempre que cuenten con menos de 50 trabajadores (no se entiende por qué en el sector privado se permite esa posibilidad de compartir medios cuando se trata de menos de 250 trabajadores y ese umbral se baja a 50 en el sector público). Sí que se exige, en todo caso, que el sistema resultante aparezca diferenciado en aras a evitar cualquier confusión entre los diferentes canales internos de información.

11.- MEDIDAS TRANSITORIAS DE ADAPTACIÓN O CREACIÓN DEL SISTEMA INTERNO DE INFORMACIÓN. Y, en fin, las reglas transitorias son indudablemente un reto y, como también se dijo en la anterior entrada, configuran una normativa preñada de irrealidad en su aplicación. La transitoria segunda prevé que, si las administraciones públicas o sus entidades disponen ya de un canal interno, tales canales “podrán servir para dar cumplimiento a las previsiones de esta ley siempre y cuando se ajusten a los requisitos establecidos en la misma”. Obviamente, con medidas administrativas propias o mediante los planes de medidas antifraude, gran parte de las organizaciones públicas disponen ya de canales antifraude internos, pero normalmente son telemáticos y también más abiertos en cuando a su posibilidad de acceso (por cualquier persona). Pero no tienen un responsable del sistema ni –salvo algunos casos- un procedimiento de gestión. La adaptación de esas herramientas y de los planes de medidas antifraude en este punto parece obligada. Además, según la transitoria segunda, los SIINF deben estar implantados por las Administraciones Públicas y entidades de su sector público en el plazo de tres meses desde la entrada en vigor de la Ley (sobre este punto ver, asimismo, el post citado), esto es, durante el mes de junio de 2023 (cuando se están constituyendo los Ayuntamientos), aunque para los municipios de menos de 10.000 habitantes ese plazo se amplía hasta el 1 de diciembre de 2023. En todo caso, un plazo irreal y muy estrecho, que solo obedece presumimos a querer dar muestras a la UE de que esto nos lo tomamos en serio, dado que la tardanza en la puesta en marcha de la Autoridad Independiente estatal será inevitable. Asimismo, se prevé una confusa regla transitoria dirigida a las CCAA que ya dispongan de Agencias o entidades de este tipo, que establece lo siguiente: “Los canales y procedimientos de información externa específicos se seguirán rigiendo por su normativa propia”, resultando aplicable la LPINF solo en los casos de que no se adecue a la Directiva (UE) 2019/1937. No obstante, en los casos de inadaptación, se requiere que tal modificación se haga en el plazo de seis meses. Si se ha de modificar alguna ley, tal plazo, con elecciones por medio en muchos casos, es inalcanzable.

12.- DESAFÍOS EN SU IMPLANTACIÓN Y ALGUNAS PARADOJAS. La ley apuesta por acelerar la implantación de los SIINF en las Administraciones Públicas y entidades de su sector público. Un verdadero desafío temporal y un reto importante de gestión, así como de configuración normativa y organizativa. Siempre se ha dicho que las prisas son malas consejeras. También que lo mejor es enemigo de lo bueno. Habrá que optar por sistemas pragmáticos, viables y operativos, que den respuesta cabal a las finalidades últimas de la ley en lo que a garantías y confianza respecta. Pero no será fácil. Menos coherente es aún esa puesta en marcha asimétrica que dejará temporalmente buena parte del territorio nacional a oscuras en lo que a la disponibilidad de canales externos alternativos respecta, que son al fin y a la postre la pieza de cierre del modelo al concentrar las facultades sancionadoras directas en aplicación de esta Ley. Que en unas CCAA se aplique ya en su plenitud la Ley, mientras que en otras se difiera por razones fácticas, no es de recibo. La creación por Ley autonómica de tales autoridades independiente irá para largo. El arranque efectivo de la Autoridad estatal posiblemente no será antes de doce meses. Largo se fía esta tardía batalla normativa en la lucha contra la corrupción. Que tomen nota en la UE.

No hay comentarios:

Publicar un comentario