Canal de denuncias

I.- OBJETIVO Y FUNCIÓN DEL CANAL DE DENUNCIAS

Para dar cumplimiento a los requisitos de la Ley Orgánica 1/2015, así como de la Ley 2/2023, el grupo H&A introduce, entre otras medidas, unos Canales de Denuncia integrados en el Sistema Interno de Información.

La función principal de este Canal o Canales de Denuncia es que cualquier persona pueda informar o reportar cualquier actividad o conducta que observen o de la que tengan conocimiento, y que pueda ser perjudicial para la Empresa, o constitutiva de infracción o ilícito penal.

El objetivo, además, es que estos reportes o denuncias puedan llevarse a cabo de una forma rápida y sencilla, y sin consecuencias de ningún tipo para el informante.

En el Sistema Interno, en el que se incluyen todos los Canales facilitados por la Empresa, quedan reflejadas todas las denuncias que se interpongan, con alta seguridad y guardando siempre la confidencialidad, así como el anonimato del informante, siempre que este lo solicite.

Las denuncias realizadas a través de cualquiera de los Canales Internos de la Empresa serán tratadas únicamente por la persona o personas designadas por el informante, de entre los miembros del Comité de Compliance y del equipo de Recursos Humanos.

II.- REQUISITOS DE LA DENUNCIA

La denuncia deberá cumplir los siguientes requisitos para ser admitida:

1. Exponer o referirse a hechos o conductas que puedan ser perjudiciales para la Empresa, o que se encuentren dentro del ámbito de aplicación del artículo 2 de la Ley 2/2023. En definitiva, las conductas reportadas deben ser:

1. Constitutivas de infracción del Derecho de la Unión Europea.

2. Constitutivas de infracción penal o administrativa grave o muy grave.

2. Proporcionar una descripción adecuada o suficiente que permita al receptor de la denuncia valorar si la conducta o actuación denunciada entra dentro del ámbito de aplicación del artículo 2/2023.

3. En la medida de lo posible, una identificación de la persona o personas que han llevado a cabo la conducta infractora o ilícita.

4. El destinatario o destinatarios a los que quiere que se dirija la denuncia, es decir, la persona o personas que se desea que tengan acceso a dicha denuncia.

5. En caso de que la denuncia no sea anónima, una dirección de correo electrónico para poder contactar al denunciante.

6. Por supuesto, los hechos o conductas denunciados deberán ser acorde a los criterios de veracidad, objetividad y buena fe, ya que, el mal uso del canal de denuncias puede dar lugar a delitos de injurias y/o calumnias, así como a responsabilidad civil por el menoscabo del derecho al honor.

A modo de ejemplo, las denuncias pueden versar sobre:

  • Prevención del blanqueo de capitales
  • Protección del medioambiente
  • Protección de datos personales y privacidad
  • Seguridad de las redes y los sistemas de información
  • Acoso sexual
  • Acoso laboral

III.- GARANTÍAS PARA EL INFORMANTE

En relación con la denuncia, el informante tendrá las siguientes garantías:

1. Decidir si desea formular la comunicación de forma anónima o no anónima. En caso de ser anónima, se eliminará la IP del denunciante según se realice la denuncia. En caso de no ser anónima, la identidad del informante será confidencial, por lo que no será revelada a terceras personas ajenas a la denuncia.

2. Elegir entre la posibilidad de realizar la comunicación verbalmente o por escrito.

La denuncia por escrito se llevará a cabo, con carácter general, de forma física, a través de los buzones habilitados por la Empresa, y que estarán situados en el coffee corner, o a través del Canal habilitado en la plataforma de Factorial.

También se puede optar por realizar la denuncia mediante una reunión presencial con el Responsable del Sistema, el Comité de Compliance o cualquiera de sus miembros, la cual será grabada en un formato seguro, duradero y accesible que garantice la confidencialidad y el anonimato del informante, y siempre que este haya prestado previamente su consentimiento expreso. La grabación podrá ser sustituida por una transcripción completa y exacta de la conversación, que el informante podrá revisar y modificar antes de proceder a su tratamiento y conservación.

3. Escoger a qué miembro o miembros del Comité de Compliance y/o del equipo de Recursos Humanos quiere dirigir la denuncia. Aquellos miembros que no sean designados por el denunciante no podrán tener acceso a la denuncia.

4. Ejercer los derechos que le confiere la legislación de protección de datos de carácter personal.

5. Conocer el estado de la tramitación de su denuncia en cada momento y los resultados de la investigación.

IV.- PROCEDIMIENTO DE REALIZACIÓN DE LA DENUNCIA

Las comunicaciones pueden realizarse tanto a través de los canales internos habilitados por la Empresa como mediante los canales externos facilitados por las autoridades competentes, o por ambos simultáneamente.

Dentro de los canales internos, la denuncia podrá realizarse de forma oral, mediante reunión presencial; o de forma escrita, físicamente en los buzones situados en el coffee corner, u online, en el canal habilitado por la Empresa a través del enlace https://hyaip.factorialhr.es/complaints, el cual redirige al usuario a la plataforma de FACTORIAL donde encontrará un formulario que podrá rellenar con sus preferencias a la hora de realizar la denuncia.

V.- PROCEDIMIENTO DE TRAMITACIÓN DE LAS DENUNCIAS

En primer lugar, la denuncia que llegue a través de los canales internos establecidos será revisada por el Comité de Compliance o, en su defecto, por la persona del Comité o de Recursos Humanos a quien el informante haya remitido la denuncia.

El receptor de la información acusará recibo al informante en el plazo máximo de siete días, y valorará si es necesaria más información de la proporcionada para poder dar curso a la denuncia.

De otra parte, también es posible que, con posterioridad a la recepción de la denuncia, y su correspondiente valoración, la situación no se pueda resolver fácilmente o no se deba solucionar por estos cauces, encontrándonos ante varias situaciones:

a) La denuncia es improcedente. El Comité emitirá un informe y enviará una comunicación al denunciante explicando los motivos y razones por los cuales se ha considerado que su denuncia no es procedente.

b) La denuncia es procedente, pero hace falta tomar medidas adicionales. El Comité lo comunicará al denunciante en ese sentido, informándole de la actuación que se va a llevar a cabo. El Comité, a su discreción, podrá, o bien iniciar un proceso de investigación del asunto, recabando toda la información que sea posible mediante los medios que tenga a su disposición, o bien enviar el caso a los Tribunales o a las autoridades que fuesen competentes.

En el caso de que el Comité realizase por sí mismo la investigación y se hiciese necesario el contar con testigos, se les deberá comunicar la situación y deberán dar el visto bueno a su intervención, comunicándoles en todo caso de que la información será tratada acorde a la LOPD, y que se garantizarán asimismo los derechos a la intimidad, a la defensa, presunción de inocencia y cualquier otro que estuviere relacionado. La duración máxima de la investigación llevada a cabo por el Comité Normativo será de tres (3) meses.

Si durante el proceso de investigación se llegase a la conclusión de la necesidad de tomar medidas preventivas de cara a paliar los daños, o a asegurar la información de la que se dispone, el Comité Normativo deberá proceder de inmediato a su ejecución, de la que resulte más conveniente, y siempre y en todo caso, acorde a la legislación vigente y a las buenas costumbres.

Durante el proceso de investigación se trata de discriminar la información de la que se dispone, diferenciando qué datos son objetivos (fechas, nombres, lugares etc.) y cuáles subjetivos (opiniones, rumores etc.). Además, con la investigación se pretende analizar dicha información, de cara a poder emitir un posterior informe en el cual se detallen en particular los/as siguientes:

  • Datos identificativos y descriptivos de la denuncia y del denunciante.
  • Datos procesados y analizados a raíz de la información que contenía la denuncia.
  • Medidas propuestas durante la fase de investigación.
  • Propuestas de solución de la situación conflictiva.
  • Medidas de actuación concretas para la resolución de la situación conflictiva.
  • Comunicación al denunciante informando del inicio y finalización del proceso de investigación, así como de las medidas que se hayan tomado durante el proceso.
  • Certificado de tratamiento de datos acorde a la legislación vigente (LOPD).
  • Medidas disciplinarias que se hayan tomado, explicando siempre y en todo caso el por qué se han tomado esas medidas y no otras.
  • Sanciones disciplinarias que se hayan tomado, justificando siempre y, en todo caso, el por qué se han aplicado y esas sanciones y no otras.

VI.- PROCEDIMIENTO DE GESTIÓN DE INFORMACIONES. PRINCIPIOS

Este procedimiento, diseñado por el Comité de Compliance y aprobado por el Órgano de Administración, establece una serie de previsiones necesarias para que el Sistema Interno y sus canales cumplan con la normativa, conteniendo una información mínima y respetando los siguientes principios:

1. Identificación del canal o canales internos de información a los que se asocia el procedimiento.

2. Inclusión de información clara y accesible sobre los canales externos de información ante las autoridades competentes y, en su caso, ante las instituciones, órganos u organismos de la Unión Europea.

3. Se enviará acuse de recibo de la comunicación al informante siempre en un plazo máximo de siete días desde su recepción, salvo que ello pudiera poner en peligro la confidencialidad de la denuncia.

4. Determina el plazo máximo para dar una respuesta a las actuaciones de investigación de la denuncia, que nunca será superior a tres meses desde la recepción de la denuncia o a tres meses y siete días si no se acusó recibo al informante, a excepción de casos muy complejos en los que podrá ampliarse a otros tres meses adicionales.

5. Posibilidad de mantener la comunicación con el informante y solicitarle información adicional, de ser necesario.

6. Informar a la persona afectada por la denuncia de las acciones u omisiones que se le atribuyan, y garantizar que pueda ser oída a en cualquier momento.

7. Garantizar la confidencialidad cuando la comunicación se realice por canales distintos de los establecidos por la Compañía o remitidos a miembros del personal que no sean responsable de su tratamiento.

8. Exigencia del respeto al honor y a la presunción de inocencia de las personas afectadas.

9. Respetando siempre las disposiciones y la normativa de protección de datos personales.

10. Se remitirá al Ministerio Fiscal la denuncia cuando los hechos pudieran ser constitutivos de delito. En caso de afectar a los intereses financieros de la Unión Europea, se remitirá a la Fiscalía Europea.

Todos estos principios estarán igualmente recogidos en la plataforma de Factorial, y cualquier trabajador de la Compañía podrá acceder a ellos mediante sus credenciales.

VII.- DATOS PERSONALES

Los tratamientos de datos personales que se lleven a cabo como consecuencia de una información o denuncia, ya sean del informante o de un tercero, serán siempre acorde con el Reglamento Europeo 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales y la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

Únicamente se recopilan datos personales necesarios para tratar la información proporcionada por el informante. En caso de que se proporcionen datos no pertinentes, se eliminarán sin dilación indebida.

Al obtener los datos del informante, se cumple siempre con el deber de información, especialmente en cuanto a la reserva de su identidad.

Los datos personales contenidos en el Sistema Interno de Información de la Empresa son accesibles únicamente para:

a) El Responsable del Sistema y de su gestión.

b) El responsable de Recursos Humanos, sólo cuando procedan medidas disciplinarias contra un trabajador.

c) El Delegado de Protección de Datos.

d) En su caso, los encargados del tratamiento que pudieran ser designados.

Los datos sólo se conservarán en el Sistema durante el tiempo imprescindible para decidir sobre si procede iniciar una investigación sobre los hechos informados. Si se acredita o descubre que cierta información no es veraz, se eliminarán de inmediato.

El Sistema Interno de H&A cuenta con las medidas técnicas y organizativas adecuadas para preservar la identidad y garantizar la confidencialidad de los datos de las personas afectadas o mencionadas en la información o denuncia.