Denuncias de whistleblowers sobre fallos de NIS 2
La Directiva (UE) 2019/1937 protege las denuncias de violaciones de la seguridad de las redes y los sistemas de información. La Hinweisgeberschutzgesetz alemana (HinSchG) es la transposición nacional. Esta página describe el marco, no asesoramiento jurídico para un caso concreto.
Qué es esta página
La denuncia de irregularidades es una vía jurídica independiente de la notificación de incidentes de NIS 2. Un empleado, contratista o candidato a un puesto que denuncie un fallo de cumplimiento de NIS 2 está protegido por la Directiva (UE) 2019/1937. La Directiva incluye expresamente la seguridad de las redes y los sistemas de información en su anexo, parte I.B, como ámbito de denuncia protegido.
En Alemania, la Hinweisgeberschutzgesetz (HinSchG, en vigor desde el 2 de julio de 2023) transpone la Directiva. El Bundesamt für Justiz alberga el canal externo central. Las entidades con 50 o más empleados están obligadas a mantener un canal interno de denuncia en virtud del §12 HinSchG.
Una revelación de un whistleblower a una autoridad externa no sustituye a la propia notificación de incidentes de la entidad en virtud del artículo 23 NIS 2 (§32 BSIG en Alemania). Ambos deberes pueden activarse por el mismo hecho y ambos corren con sus propios plazos.
Directiva (UE) 2019/1937, anexo parte I.B
La seguridad de las redes y los sistemas de información, tal como se define en el artículo 4, punto 1, de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo.
El anexo enumera los ámbitos de actuación en los que una denuncia está protegida. La seguridad de las redes y los sistemas de información figura en la parte I.B junto a la seguridad del transporte y la protección del medio ambiente. NIS 2 (Directiva 2022/2555) sustituye a la Directiva 2016/1148, por lo que las denuncias sobre fallos de cumplimiento de NIS 2 quedan dentro de este ámbito.
Directiva (UE) 2019/1937, artículo 4 (ámbito personal)
La presente Directiva se aplicará a los denunciantes que trabajen en el sector privado o público y que hayan obtenido información sobre infracciones en un contexto laboral.
El ámbito personal abarca a los empleados, los trabajadores por cuenta propia, los accionistas, los miembros de los órganos de administración, los voluntarios, los becarios remunerados o no, los contratistas, los subcontratistas y los proveedores. Los candidatos a un puesto y los antiguos trabajadores también están protegidos. El §16(1) HinSchG permite las denuncias anónimas, pero el seguimiento puede ser limitado.
§12 HinSchG (canales internos de denuncia)
Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten sind verpflichtet, eine Stelle einzurichten und zu betreiben, an die sich Beschäftigte zur Abgabe von Meldungen nach diesem Gesetz wenden können.
El umbral de 50 empleados se refiere a la plantilla por regla general, no a una cifra diaria exacta. Las entidades por debajo de 50 empleados pueden establecer un canal interno de forma voluntaria; las entidades con 50 o más deben hacerlo. El Bundesamt für Justiz opera el canal externo.
Qué se puede denunciar
El §2 HinSchG enumera los objetos de denuncia protegidos. Entre ellos: las infracciones del Derecho de la UE, incluida la seguridad de las redes y los sistemas de información. Una denuncia sobre una obligación de NIS 2, por ejemplo el incumplimiento de la implementación de las medidas del artículo 21 o el incumplimiento de una notificación de incidente en virtud del artículo 23, está dentro del ámbito.
Primero el interno, el externo en paralelo
Canal interno en virtud del §12 HinSchG (50+ empleados). Canales externos en virtud del §19 HinSchG: el Bundesamt für Justiz como oficina externa central, más las autoridades sectoriales específicas. El denunciante puede elegir cualquiera de los dos; el considerando 33 de la Directiva expresa una preferencia por el interno en primer lugar, pero no lo convierte en una condición previa.
Deber de documentación
§11 HinSchG: las denuncias se documentan de forma duradera y recuperable. La documentación se elimina tres años después de cerrarse el procedimiento; se permite una conservación más prolongada cuando sea necesaria para procedimientos judiciales. Los datos personales siguen los principios del GDPR.
Confidencialidad de la identidad
§8 HinSchG: la identidad del denunciante, de las personas nombradas en la denuncia y de los terceros mencionados se mantiene confidencial. La revelación solo se permite en excepciones estrictas, por ejemplo una solicitud por escrito de una autoridad de persecución penal. Los gestores del caso deben ser independientes y estar libres de conflictos de intereses.
Prohibición de represalias
El §36 HinSchG prohíbe las represalias contra el denunciante. Esto abarca el despido, la degradación, la denegación de formación, una evaluación de desempeño negativa y medidas similares. El §36(2) invierte la carga de la prueba: si una persona sufre una desventaja después de una denuncia, se presume que la desventaja es una represalia salvo que el empleador demuestre lo contrario.
El BSI como autoridad sectorial
El Bundesamt für Sicherheit in der Informationstechnik (BSI) es la autoridad competente para la supervisión de NIS 2 en virtud del §61 BSIG. Una denuncia de un whistleblower que alegue que una entidad no cumple las medidas del artículo 21 o que no se ha registrado en virtud del artículo 27 acabará normalmente en el BSI a través del encaminamiento del canal externo, aunque se presente primero ante el Bundesamt für Justiz.
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
El BfDI es el canal externo sectorial específico para las violaciones de protección de datos federales. NIS 2 y el GDPR se solapan cuando un incidente afecta a datos personales. Una denuncia de un whistleblower puede nombrar ambas bases jurídicas; la autoridad receptora encamina las partes al órgano competente.
El Bundesamt für Justiz como canal externo central
El Bundesamt für Justiz opera la oficina externa central de denuncias en virtud del §19 HinSchG. Es la dirección externa por defecto si no se aplica ningún canal sectorial específico, y encamina las denuncias al supervisor competente (BSI, BNetzA, BAFin, BfDI) cuando el objeto reside ahí.
Una denuncia de un whistleblower al BSI sustituye a nuestra notificación de incidente del artículo 23.
No lo hace. El artículo 23 NIS 2 y el §32 BSIG imponen el deber de notificar a la entidad. Una denuncia de un tercero abre un expediente de supervisión independiente. La propia alerta temprana de la entidad y sus notificaciones de las 24 horas y las 72 horas corren de forma independiente.
Tenemos 60 empleados, pero nadie ha denunciado nunca nada, así que no necesitamos un canal.
El §12 HinSchG vincula el deber a la plantilla, no a si se han presentado denuncias. El §40 HinSchG impone una multa administrativa de hasta 20.000 EUR por no operar un canal interno. La multa comienza el 1 de diciembre de 2023 para las entidades con 50 a 249 empleados.
Podemos prescindir de la persona que presentó la denuncia porque su desempeño ha bajado.
El §36 HinSchG presume que la medida es una represalia una vez que se ha presentado una denuncia. La carga de la prueba recae en el empleador para demostrar un motivo no relacionado y documentado. Las decisiones sobre el denunciante adoptadas después de una denuncia quedan sujetas a un escrutinio reforzado.
Dos relojes corren en paralelo tras una denuncia sobre un fallo de NIS 2. El reloj uno es el plazo de respuesta de la HinSchG: acuse de recibo en un plazo de siete días en virtud del §17(1)(1), respuesta al denunciante en un plazo de tres meses en virtud del §17(1)(4). El reloj dos es el deber de incidente de NIS 2 que active el fondo de la denuncia, que es la propia obligación del artículo 23 de la entidad y no la del whistleblower.
El patrón más limpio en las entidades medianas: un gestor de casos nombrado en cumplimiento o RR. HH., un segundo suplente nombrado, un formulario de recepción por escrito que capture el fondo sin forzar la revelación de la identidad, y un registro por escrito que anote cada paso con una marca de tiempo. El registro es la única evidencia que existe después si un tribunal pregunta cómo se tramitó la denuncia.
Las denuncias de whistleblowers no forman parte del propio registro de obligaciones de NIS 2. Son un deber de gobernanza paralelo en virtud de la HinSchG, con su propio canal, su propia conservación y su propia regla de no represalia.
El registro de obligaciones responde a la pregunta de qué medidas de NIS 2 ha implementado la entidad y cómo está documentado. El canal de whistleblowers responde a la pregunta de cómo recibe y tramita la entidad las denuncias sobre brechas en esas medidas. Ambos son registros independientes y ambos pueden ser solicitados por un supervisor.
- Directiva (UE) 2019/1937, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (DO L 305 de 26.11.2019, p. 17). Anexo parte I.B y artículo 4.
- Hinweisgeberschutzgesetz (HinSchG), de 31 de mayo de 2023, BGBl. 2023 I Nr. 140. §§ 2, 8, 11, 12, 16, 17, 19, 36, 40.
- Directiva (UE) 2022/2555 (NIS 2), de 14 de diciembre de 2022, artículos 21, 23, 27.
- BSI-Gesetz (BSIG), §§ 32, 33, 61, 65.
- Bundesamt für Justiz, oficina externa de denuncias en virtud del §19 HinSchG.