985 62 23 81 info@mithra.es

Responsable del Sistema Interno de Información: ¿Quién es?

por | Jun 28, 2023 | Ciberseguridad, Compliance, Derecho Digital, Derecho Mercantil, Digitalización | 4 Comentarios

Responsable del Sistema Interno de Información

La famosa Ley del Canal de Denuncias (Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción), que transpone la conocida como Directiva Whistleblowing, introduce en nuestro ordenamiento la figura del Responsable del Sistema Interno de Información o Responsable del Sistema.

Funciones y responsabilidades

Centrándonos en las entidades del sector privado, y buceando entre los diferentes artículos de la Ley, podemos señalar las siguientes responsabilidades del Responsable del Sistema:

1.– Es el responsable de garantizar el correcto funcionamiento del Sistema.

Por contra, la implantación y el diseño del Sistema es responsabilidad del órgano de administración.

2.- Es responsable de la tramitación diligente de las comunicaciones o denuncias que se reciban.

3.– Su rol esencial e asumir, personalmente, la eficacia del Sistema y garantizar que la entidad cumpla efectivamente con las obligaciones que le impone la Ley en esta materia

4.– Será el responsable de adoptar las decisiones en cuestiones relacionadas con las medidas cautelares de protección del informante o de las personas sobre las que versa la denuncia recibida, no pudiendo dejar estas cuestiones en manos de los responsables de recurso humanos o de la asesoría jurídica de la empresa.

Dentro del marco de estas responsabilidades, podemos configurar el papel del Responsable del Sistema en torno a las siguientes funciones:

a) Con facultades delegadas del Órgano de administración, diseñar, establecer y gestionar de una forma segura, un canal que permite realizar las comunicaciones previstas por la Ley, garantizando la confidencialidad de la identidad del informante y de cualquiera mencionado en la comunicación, así como de las actuaciones que se lleven a cabo para la tramitación de la comunicación, y garantizando igualmente la protección de datos, impidiendo el acceso de personal no autorizado.

b) Crear y/o integrar en el Sistema Interno los distintos canales internos de información que pudieran establecerse en la entidad, incluso cuando la información llegue a través de canales no previstos.

c) Garantizar que las comunicaciones que se presenten se tramitarán de forma efectiva con el objetivo de conocer la posible irregularidad y adoptar las medidas adecuadas parta corregir y reparar los perjuicios causado. Ello implica tanto capacidad para investigar, como capacidad para corregir y reparar las infracciones que se detecten.

d) Asegurar la independencia del Sistema Interno respecto de otros Sistemas de la entidad.

e) Asegurar que el Órgano de Gobierno aprueba y mantiene una política o estrategia que recoge los principios generales en materia de Sistema de Información y defensa del informante, así como su debida publicidad en el seno de la organización.

f) Establecer y asegurar que se aplican correctamente las garantías para la protección de los informantes.

g) Actuar como interlocutor frente a las Autoridades Administrativas Independientes en la materia.

La Ley permite delegar o externalizar la gestión de los canales internos, ya sea en departamentos internos o en profesionales externos, pero la responsabilidad de garantizar el correcto funcionamiento y la diligente tramitación de las comunicaciones seguirá siendo del Responsable del Sistema.

Requisitos

En línea con las funciones y responsabilidades que se le atribuyen al Responsable del Sistema, la Ley ha determinado que dicho Responsable debe reunir los siguientes requisitos:

– Contar con facultades para corregir desviaciones o conductas inadecuadas, adoptando decisiones inmediatas y medidas cautelares.

– Independencia y autonomía respecto el resto de órganos de la entidad para desempeñar sus funcionas como Responsable del Sistema.

– Disponer de todos los medios personales y materiales para llevar a cabo sus funciones.

– Ejercer su cargo con independencia del órgano de administración o de gobierno, sin recibir instrucciones al respecto.

Por ello, en relación con su nombramiento, el artículo 8 de la Ley 2/2023 señala que el mismo se realizará por el órgano de administración, al igual que se destitución o cese, debiendo nombrase una persona física. Y en el caso de que se opte porque el Responsable del Sistema sea un órgano colegiado, este deberá “delegar en uno de sus miembros las facultades de gestión del Sistema interno de información y de tramitación de expedientes de investigación”.

 

¿A quién designar como Responsable del Sistema?

Dados los requisitos que debe reunir el Responsable del Sistema, la ley prevé sobre quién debe recaer este nombramiento, en el caso de las entidades del sector privado:

– Con carácter general, un directivo de la entidad, que ejercerá su cargo con independencia del órgano de administración o de gobierno de la misma.

– Cuando la naturaleza o la dimensión de las actividades de la entidad no justifiquen o permitan la existencia de un directivo Responsable del Sistema, será posible que las funciones de Responsable del Sistema recaigan sobre un directivo que mantenga al mismo tiempo las funciones de su puesto o cargo, siempre que se eviten las situaciones de conflicto de interés.

– Cuando ya existiera en la entidad una persona responsable de la función de cumplimiento normativo o de políticas de integridad (la figura del Compliance Officer), podrá ser esta la persona designada como Responsable del Sistema, siempre que cumpla los requisitos establecidos en esta ley. Es decir, que deberá reunir igualmente los requisitos de autonomía e independencia que hemos señalado anteriormente, lo que no es habitual que suceda en el caso del Compliance Officer.

Notificación a la Autoridad Independiente de Protección del Informante

Tanto el nombramiento como el cese de la persona física individualmente designada, así como de las integrantes del órgano colegiado deberán ser notificados a la Autoridad Independiente de Protección del Informante, A.A.I., o, en su caso, a las autoridades u órganos competentes de las comunidades autónomas, en el ámbito de sus respectivas competencias, en el plazo de los 10 días hábiles siguientes, especificando, en el caso de su cese, las razones que han justificado el mismo.

Si bien será necesario que la práctica nos perfile aún más esta figura es razonable pensar que el legislados quiso atribuir dicha responsabilidad a un miembro del órgano de administración o de alta dirección de la empresa con facultades suficientes para desempeñar el cargo con suficiente eficacia, y sólo de forma alternativa se optará por designar como Responsable del Sistema al Compliance Officer.

En todo caso, recordar que, como exponemos en nuestra entrada dedicada a la Ley del Canal de Denuncias, los plazos para implantar el Sistema Interno de Información previstos en la ley son los siguientes:

  • Las entidades del sector privado que tengan 250 trabajadores o más, deberán tenerlo implantado desde el pasado del 13 de junio de 2023.

  • Para las entidades del sector privado que tenga entre 50 y 249 trabajadores el plazo se extiende hasta el 1 de diciembre de 2023.

En nuestra próxima entrada hablaremos sobre las sanciones a que se exponen las empresas obligadas que no cuenten con el Sistema Interno de Información.

* Imagen de Gerd Altmann en Pixabay

4 Comentarios

  1. virginia
    virginia el agosto 1, 2023 a las 7:25 am

    Hola. Me surge una duda a la hora de poner en práctica el sistema interno de información en las empresas. La empresa puede designar a un responsable del sistema que sea externo a la entidad y que además gestione el canal? o, ¿el responsable debe ser siempre interno de la empresa, aunque la gestión la haga un tercero?
    Muchas gracias, saludos.

    Responder
    • Carla
      Carla el agosto 1, 2023 a las 9:39 am

      Hola Virginia,

      Desde nuestro opinión, la ley es clara en este punto. El Responsable del Sistema Interno de Información desde ser siempre interno de la empresa, y con un grado suficiente de autonomía e independencia (de ahí, la preferencia de la ley por una persona con funciones directivas). Ello no impide que la gestión del canal de denuncias pueda ser externa, pero aún en este caso, la responsabilidad del Sistema Interno de Información corresponderá al Responsable del SII, interno de la empresa.

      Un saludo.

      Responder
  2. Núria
    Núria el noviembre 6, 2023 a las 6:44 pm

    Buenas tardes,
    Tengo una duda, el Responsable del Sistema interno de información puede ser uno de los propietarios de la empresa que tiene el cargo de administrador ??
    Gracias

    Responder
    • admin
      admin el noviembre 7, 2023 a las 5:18 pm

      Hola Nuria,

      Muchas gracias por su comentario. En materia de Responsable Interno de Información, a diferencia de lo que ocurre por ejemplo en el caso del Delegado de Protección de Datos, la Ley 2/2023 exige que dicho Responsable tenga independencias y una alta capacidad de decisión, optando preferentemente por la figura del «directivo», por lo que no habría inconveniente en que sea Responsable del Sistema el socio/administrador.

      Un saludo.

      Responder

Enviar comentario

Tu dirección de correo electrónico no será publicada.

Abrir chat