¿Se puede usar un formulario web como Canal de Denuncias?

La nueva Ley 2/2023 de protección al informante sobre irregularidades en la administración
pública o en empresas, tiene unos requisitos técnicos y de seguridad, que difícilmente pueden
ser conseguidos con un formulario web como canal para la introducción de irregularidades y la
gestión interna de la información.

Requisitos indispensables para un canal de denuncias:

Vamos a analizar que nos dice la norma:

  1. Título III, página 8: “La configuración del Sistema interno de información debe reunir
    determinados requisitos, entre otros, su uso asequible, las garantías de confidencialidad,
    las prácticas correctas de seguimiento, investigación y protección del informante.”

    Con un formulario web es difícil que se puedas ofrecer garantías de confidencialidad, porque la información que se introduce en el formulario está abierta, sin cifrar, y se envía a otros sistemas como correo electrónico, aplicaciones on-premises o cloud (Google, Azure,..). Además, el informante no puede volver acceder al formulario para hacer seguimiento de su denuncia.

  2. Título III, página 11: Dotar de independencia y autonomía al canal o canales de comunicación externa pasa por garantizar la exhaustividad, integridad y confidencialidad de la información, impedir el acceso a ella por el personal no autorizado y permitir un almacenamiento duradero de la misma.

    Los formularios web suelen ser desarrollados por personal interno, normalmente del área de tecnología, lo cual hace imposible impedir que los propios desarrolladores que no autorizados, puedan acceder a la información confidencial.

  3. Artículo 4, página 19: “Ser independientes y aparecer diferenciados respecto de los sistemas internos de información de otras entidades u organismos”

    Si se ha desarrollado el formulario web y está conectado con sistemas interno, por personal propio de la entidad u organización, es imposible que se mantenga como independiente.

  4. Artículo 9, página 21: “e) Previsión de la posibilidad de mantener la comunicación con el informante y, si se considera necesario, de solicitar a la persona informante información adicional.”

    Un formulario web suele ser usado para introducir datos, no para gestionar la comunicación confidencial entre las dos partes, y sobre todo sería imposible la comunicación con informantes anónimos.

  5. Artículo 9, página 21: “g) Garantía de la confidencialidad cuando la comunicación sea remitida por canales de denuncia que no sean los establecidos o a miembros del personal no responsable de su tratamiento, al que se habrá formado en esta materia y advertido de la tipificación como infracción muy grave de su quebranto y, asimismo, el establecimiento de la obligación del receptor de la comunicación de remitirla inmediatamente al Responsable del Sistema.”

    Es decir, el Sistema Interno de la Información debe tener los medios tecnológicos necesarios para impedir el filtrado de la información por las personas que se de acceso a la comunicación del informante para investigar la denuncia, por ejemplo.

  6. Artículo 17, página 24. “Recepción de informaciones. La información puede llevarse a cabo de forma anónima. En otro caso, se reservará la identidad del informante en los términos del artículo 33, debiendo adoptarse las medidas en él previstas.”

    El informante debe tener la capacidad de decidir si quiere realizar la comunicación de forma anónima o identificándose. No permitir está posibilidad es un incumplimiento de la normativa y por lo tanto puede suponer una infracción y la correspondiente sanción.

  7. Artículo 25, página 28. …régimen de confidencialidad aplicable a las comunicaciones y, en particular, la información sobre el tratamiento de los datos personales de conformidad con lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en la Ley Orgánica 3/2018, de 5 de diciembre, y en el título VII de esta ley”.

    La información deberá estar cifrada cuando se transmite y en reposo.

  8. Artículo 26, página 28. “Registro de informaciones. 1. …disponer de un canal interno de informaciones, con independencia de que formen parte del sector público o del sector privado,…,deberán contar con un libro-registro de las informaciones recibidas y de las investigaciones internas a que hayan dado lugar, garantizando, en todo caso, los requisitos de confidencialidad previstos en esta ley.

    Deberá existir un canal interno que deberá registrar de forma autónoma y feaciente
    cualquier actuación en el expediente de la denuncia, impidiendo cualquier modificación
    que ponga en duda la veracidad del registro, con Time Stamp por ejemplo.

  9. Artículo 63, página 40. “Infracciones. 1. Tendrán la consideración de infracciones muy graves las siguientes acciones u omisiones dolosas:

    c) Vulnerar las garantías de confidencialidad y anonimato previstas en esta ley, y de forma particular cualquier acción u omisión tendente a revelar la identidad del informante cuando este haya optado por el anonimato, aunque no se llegue a producir la efectiva revelación de la misma.
    (..)

    g) Incumplimiento de la obligación de disponer de un Sistema interno de información en
    los términos exigidos en esta ley.”

    Es decir, no garantizar la confidencialidad y anonimato o no disponer de un Sistema Interno de Información según los requisitos de la Ley, implica que se considere como infracción muy grave, con sanción de hasta un millón de euros.

Conclusiones

Esto es una muestra de solo nueve requisitos sobre el Canal y Sistema Interno de Información,
que nos da una idea de que no es un sistema trivial como puede ser un formulario web y sus
sistemas internos que estén por detrás, y tienen consecuencias como infracción de la ley sobre
el incumplimiento de los requisitos en el Sistema Interno de Información.

mysecway es producto digital español que, de forma fácil y rápida, ayuda a cumplir la Ley 2/2023 en las empresas y organismos públicos. Establece el canal y sistema interno de información con las máximas medidas de seguridad de forma que se puedan proteger a las personas y a la información que comunican sobre infracciones. 

¿Quieres recibir noticias y artículos en tu email?

Publicaciones Similares

España avanza en la protección de los denunciantes (whistleblowers), pero aún queda camino por recorrer

España avanza en la protección de los denunciantes (whistleblowers), pero aún queda camino por recorrer

Un informe de Transparencia Internacional publicado en noviembre de 2023 (How well do EU countries protect Whistleblowers? Assessing the transposition of the EU Whistleblower Protection Directive) analiza la implementación de la Directiva Whistleblower en los 27 Estados miembros de la Unión Europea. El informe concluye que, en general, los países europeos han hecho progresos significativos…