1. Les bústies de denúncies en matèria antifrau: conceptes bàsics
Estem davant una nova obligació legal. La Directiva 1937/2019 del Parlament Europeu i del Consell, de 23 d’octubre de 2019, relativa a la protecció de les persones que informen sobre infraccions del Dret de la Unió, estableix la necessitat de promoure els canals de denúncia interna i externa: “els Estats membres promouran la comunicació a través de canals de denúncia interna abans que la comunicació a través dels canals de denúncia externa.” (art.7.2). La norma estableix una preferència dels canals de denúncia interna enfront dels externs, “els Estats membres promouran la comunicació a través de canals de denúncia interna (…), sempre que es puga tractar la infracció internament de manera efectiva i sempre que el denunciant considere que no hi ha riscos de represàlies.” (art.7.2). Aquesta necessitat de promoure la implantació dels canals de denúncia interna, es complementa amb de la d’articular els procediments de denúncia i seguiment adequats, prèvia consulta als interlocutors socials i d’acord amb ells quan així ho establisca el Dret nacional.
No obstant això, el denunciant podrà dirigir-se directament al canal extern si després de la denúncia interna, no es prenen les mesures oportunes; si es presumeix que la denúncia als seus superiors no produirà efectes; o bé quan existisca perill imminent o manifest per a l’interés públic.
Per part seua, l’Avantprojecte de Llei de transposició de la Directiva 2019/1937 (d’ara en avant, APL), es refereix als sistemes interns d’informació, optant per aquesta terminologia menys contundent, quasi un eufemisme, i disposant que aquests sistemes interns d’informació són el llit preferent per a informar sobre les accions o omissions previstes en l’article 2, en definitiva sobre les infraccions sobre el Dret de la Unió previst en la Directiva (article 4 APL). L’òrgan d’administració o de govern de cada entitat o organisme serà el responsable de la implantació del sistema intern d’informació, prèvia consulta amb la representació legal de les persones treballadores (art. 5 APL). La gestió dels sistemes interns d’informació es podrà dur a terme dins de la pròpia entitat o acudint a un tercer extern. (art. 6 APL). A més, tots els canals interns d’informació estaran integrats dins del sistema intern d’informació.
L’Avantprojecte també es refereix a l’anonimització o confidencialitat de l’informant (entenga’s “denunciant”). Així, estableix que els canals interns d’informació hauran de permetre la presentació i posterior tramitació de comunicacions anònimes (art. 7.3 APL). Per part seua, el procediment de gestió de les comunicacions internes (entenga’s “denúncies”) és l’establit en l’art. 8 APL, al qual ens remetem. En tot cas caldrà seguir l’evolució del text ja en les fases de Projecte de llei, informes i tramitació en seu parlamentària.
El que sí que sembla clar és que la immensa majoria de les entitats públiques i privades han de tindre’ls: “Els Estats membres vetlaran perquè les entitats jurídiques dels sectors privat i públic establisquen canals i procediments de denúncia interna i seguiment (…)” (art. 8.1 Directiva). Segons la pròpia Directiva, l’establiment d’un canal o bústia de denúncies és obligatori per a les entitats jurídiques del sector privat de més de 50 treballadors. Els Estats membres podran exigir-ho a les entitats de menys de 50 treballadors, però aquesta decisió es deixa al desenvolupament normatiu nacional. De moment, el citat avantprojecte de llei regula de manera general l’obligació únicament per a les persones jurídiques privades de 50 o més treballadors. No ocorre el mateix en el sector públic, on els canals de denúncia seran obligatoris. En aquest cas la Directiva torna a establir la possibilitat que els Estats membres puguen eximir als municipis de menys de 10.000 habitants o amb menys de 50 treballadors, així com a altres entitats jurídiques del sector públic amb menys de 50 treballadors. Però ací l’avantprojecte de Llei no eximeix a cap entitat del sector públic de l’obligació, i tenint en compte que les dificultats dels Ajuntaments xicotets es poden solucionar amb la compartició de recursos i, sobretot, amb l’acció de suport i assistència de Diputacions, Capítols i Consells, és més que probable que es mantinga l’obligatorietat.
2. La bústia de denúncies de l’Agència Valenciana Antifrau: un model a reproduir
Com articular l’al·ludida obligació de crear i mantindre una bústia de denúncies en les nostres entitats del sector públic? La nostra proposta particular és el model de l’Agència Valenciana Antifrau. La nostra bústia de denúncies, en aquest cas intern i, com a oficina antifrau, també extern en el sentit anteriorment explicat, es troba en funcionament des de 2018. Està basat en la plataforma Globaleaks i va ser originàriament adaptat a la tecnologia i legislació vigent per Xnet, d’aquesta manera va poder ser utilitzada i replicada en diferents institucions i organismes a Espanya de manera ràpida, àgil i sense cost.
L’eina pot ser descarregada des de la web del creador de la mateixa https://www.globaleaks.org/ on es pot accedir a les principals característiques de la mateixa i que ens agradaria agrupar en quatre grups:
1. A nivell d’usuari: gestió senzilla des d’una interfície web, traduïda a més de 60 idiomes, completament configurable i personalitzable amb els colors i logos corporatius de les diferents administracions. Permet també la seua adequació a la casuística de cada projecte, permetent la denúncia anònima, creació de qüestionaris avançats, converses privades i intercanvi d’informació i informes estadístics.
2. A nivell tècnic: manteniment a llarg termini garantit pel desenvolupador (LTS), aplicació totalment autònoma (sense necessitat de disposar de servidors web o d’altres aplicacions), construïda mitjançant tecnologies de navegació lleugera, sistema de còpia de seguretat integrat, configuració automatitzada d’accés a través de la xarxa privada TOR i preparada per a ser integrada amb altres pàgines web i intranets.
3. A nivell legal: compleix amb els estàndards de l’ISO 37002:2021 (Sistemes de gestió de la denúncia d’irregularitats) així com amb la Directiva Comunitària 2019/1937 sobre protecció del denunciant de corrupció. Compleix amb el reglament europeu de protecció de dades GDPR permetent configurar les polítiques de retenció de dades, de la mateixa manera garanteix la custòdia de la identitat del denunciant (si es facilita) mitjançant la protecció de l’accés a les denúncies així com mitjançant l’absència de registre de les adreces IP dels qui realitzen aquestes comunicacions.
4. A nivell de seguretat: garanteix l’accés a través de protocols HTTPS i xarxa TOR. Està contínuament exposada a diferents proves de pentesting per a garantir i millorar la seua seguretat. Permet l’accés mitjançant doble factor d’autenticació, tot el contingut facilitat queda xifrat i únicament accessible als receptors autoritzats. No deixa rastre en la memòria caixet dels navegadors, disposa de mecanismes anti-spam i ofereix suport per a l’intercanvi de missatges mitjançant PGP (Xifratge i Signatura dels missatges).
Finalment, a nivell de suport i manteniment específic, existeixen diversos fòrums públics de l’eina on és possible consultar i proposar nous dubtes que solen ser resoltes pels propis desenvolupadors. Si és necessari un suport més personalitzat i una atenció directa, encara que no és necessari, és possible contractar amb el desenvolupador un manteniment més específic, encara que amb la informació disponible i la comunitat d’usuaris existent la majoria de dubtes queden resoltes de manera àgil. De la mateixa manera, les actualitzacions del producte són constants i la seua distribució i aplicació gratuïtes, la qual cosa garanteix la integritat de la plataforma i la seua contínua millora i adaptació a la tecnologia i normativa vigent.
En resum, ens trobem davant la solució que en termes d’eficiència funcional i econòmica millor resposta oferirà a les obligacions imposades pels articles 7 i 10 de la Directiva 2019/1937 quant a l’obligació de disposar de canals de denúncia interna i externa. L’eina és adaptable a totes dues necessitats i compleix amb les mesures tècniques i de seguretat que garanteixen la protecció de la identitat del denunciant i l’accés a la informació denunciada únicament a aquells usuaris que estiguen autoritzats a això.
Víctor Almonacid Lamelas. Director de Prevenció, Formació i Documentació de l’AVAF
Javier Alamá Esquerre. Cap del Servei de Sistemes d’Informació de l’AVAF