Universidad Politécnica de Cataluña - Anuncios (DOGC nº 2023-9040)
RESOLUCIÓN por la que se ordena la publicación de la Normativa reguladora del canal interno de información y del buzón antifraude en la Universidad Politécnica de Cataluña.
Antecedentes
PRIMERO. En aplicación de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, la Universitat Politècnica de Catalunya ha aprobado la Normativa reguladora del canal interno de información y del buzón antifraude en la Universitat Politècnica de Catalunya, mediante el Acuerdo CG/2023/07/42, del Consejo de Gobierno, de 5 de julio de 2023, y el Acuerdo CS/2023/06/21, del Consejo Social, de 17 de julio de 2023.
SEGUNDO. La disposición final única de la Normativa reguladora del canal interno de información y del buzón antifraude en la Universitat Politècnica de Catalunya establece que, con posterioridad a su aprobación, la Normativa debe ser publicada en el Diario Oficial de la Generalidad de Cataluña.
El artículo 68 de los Estatutos de la Universitat Politècnica de Catalunya, aprobados por el Acuerdo GOV/43/2012, de 29 de mayo (DOGC de 01/06/2012), establece que "son funciones del rector o rectora, además de las establecidas por la normativa vigente y estos Estatutos, las competencias de la Universidad que no vengan expresamente atribuidas a otros órganos".
En uso de las atribuciones que me otorga la legislación vigente, emito la siguiente
RESOLUCIÓN
ÚNICO. Ordenar la publicación de la Normativa reguladora del canal interno de información y del buzón antifraude en la Universitat Politècnica de Catalunya en el Diario Oficial de la Generalidad de Cataluña, anexo a la presente resolución.
Contra la presente resolución, que agota la vía administrativa, las personas interesadas pueden interponer, potestativamente, un recurso de reposición ante el rector de la UPC, en el plazo de un mes, a contar a partir del día siguiente de su publicación, de conformidad con lo dispuesto en los artículos 123 y 124 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, o bien pueden interponer un recurso contencioso-administrativo en el plazo de dos meses, a partir del día siguiente de su publicación, ante el Juzgado de lo Contencioso-Administrativo de Barcelona, de conformidad con lo establecido por Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.
Barcelona, 23 de octubre de 2023
Daniel Crespo Artiaga
Rector
ANEXO
NORMATIVA REGULADORA DEL CANAL INTERNO DE INFORMACIÓN Y DEL BUZÓN ANTIFRAUDE EN LA UNIVERSITAT POLITÈCNICA DE CATALUNYA
ÍNDICE
PREÁMBULO
Definiciones
TÍTULO PRELIMINAR
Artículo 1. Objeto
TÍTULO I. DISPOSICIONES GENERALES
Artículo 2. Canal interno de información
TÍTULO II. CANAL INTERNO DE INFORMACIÓN (CII)
Artículo 3. Objetivos del canal interno de información
Artículo 4. Principios generales del buzón antifraude
Artículo 5. Ámbito objetivo de aplicación
TÍTULO III. EL BUZÓN ANTIFRAUDE
Artículo 6. Ámbito subjetivo de aplicación
Artículo 7. Responsables del CII
TÍTULO IV. RESPONSABLES DEL CANAL INTERNO DE INFORMACIÓN (CII)
Artículo 8. Funciones de los responsables del CII
Artículo 10. Principios generales y reglas de uso del procedimiento de gestión del buzón antifraude
Artículo 9. Preferencia del buzón antifraude de la UPC
CAPÍTULO I. Aspectos generales
TÍTULO V. PROCEDIMIENTO DE GESTIÓN DEL BUZÓN ANTIFRAUDE DE LA UPC
Artículo 11. Derechos y obligaciones de la persona que informa
Artículo 12. Derechos y obligaciones de la persona afectada por la comunicación de información
Artículo 13. Inicio del procedimiento: presentación de las comunicaciones de información y recepción
CAPÍTULO II. Procedimiento de gestión del canal antifraude
Artículo 14. Análisis preliminar y admisión de las comunicaciones
Artículo 15. Instrucción
Artículo 16. Audiencia
Artículo 17. Terminación de las actuaciones
Artículo 18. Duración de las labores de comprobación y días inhábiles a efectos del procedimiento
Artículo 19. Protección de datos personales
Artículo 20. Tratamiento de datos personales en el sistema de información
Título VI. PROTECCIÓN DE DATOS PERSONALES, PUBLICIDAD Y REGISTRO DE LAS INFORMACIONES
Artículo 21. Publicidad de la información
Artículo 22. Registro de les informaciones y protección de datos
Artículo 23. Las garantías de protección
TÍTULO VII. GARANTÍAS DE PROTECCIÓN
DISPOSICIONES ADICIONALES, TRANSITORIAS Y FINALES
NORMATIVA REGULADORA DEL CANAL INTERNO DE INFORMACIÓN Y DEL BUZÓN ANTIFRAUDE EN LA UNIVERSITAT POLITÈCNICA DE CATALUNYA
PREÁMBULO
I
La Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, prevé la necesidad de poner a disposición de las personas que informen sobre infracciones buzones de denuncia efectivos, confidenciales y seguros que garanticen una protección efectiva frente a las represalias.
En el ámbito estatal, ha sido aprobada la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Esta Ley tiene como finalidad otorgar una protección adecuada frente a las represalias que puedan sufrir las personas físicas que informen sobre alguna de las acciones u omisiones que formen parte de su ámbito de aplicación, a fin de potenciar la cultura de la información como mecanismo para prevenir y detectar amenazas que afecten al interés público. En este sentido, se insta a las entidades obligadas, entre ellas la Universidad, a implantar un canal interno de información en el plazo máximo de tres meses desde la aprobación de la Ley.
En el ámbito de la UPC, el Consejo Social aprobó el Acuerdo CS/2021/07/12, de 21 de diciembre de 2021, por el que se aprueba el Plan de medidas antifraude de la Universitat Politècnica de Catalunya. De acuerdo con lo establecido en el apartado 5.2 de este Plan, se prevé, como medida de detección, la puesta en marcha de un buzón de denuncia, que debe garantizar la protección de la confidencialidad de la persona que denuncia y de cualquier tercero, que se impida el acceso a la denuncia de personal no autorizado, que se entregue a la persona que comunica la infracción un acuse de recibo de la denuncia y que se designe a una persona o departamento imparcial para realizar el seguimiento de las denuncias.
II
De conformidad con todo lo anterior, la presente normativa tiene por objeto crear el canal interno de información de la Universitat Politècnica de Catalunya (UPC) y regular su funcionamiento, específicamente y de forma detallada el denominado buzón antifraude. En concreto, la presente normativa comprende los siguientes objetivos: (i) identificar e integrar los diferentes buzones de acceso de la UPC que formen parte del canal interno de información de la UPC; (ii) implantar el buzón antifraude de la UPC; (iii) garantizar un buzón seguro de comunicación efectiva entre personas que informen sobre infracciones y la UPC; (iv) definir la política y la estrategia de la UPC, en la que se enuncien los principios generales en materia del buzón antifraude y la defensa de la persona que comunica la comisión de infracciones; (v) designar el órgano responsable del canal interno de información de la UPC; (vi) diseñar un procedimiento de gestión de las comunicaciones de información de informaciones recibidas, y (vii) establecer las garantías de protección de las personas que revelen infracciones en el ámbito de la UPC.
La presente normativa se estructura en un título preliminar, siete títulos, dos disposiciones adicionales, una disposición transitoria y una disposición final.
El título preliminar incorpora la definición de algunos conceptos que se consideran esenciales para la comprensión de la normativa. Entre las diferentes definiciones, cabe destacar la definición del canal interno de información como aquella vía única a través de la cual los miembros de la comunidad universitaria o terceras personas, según el caso, pueden encontrar los distintos buzones existentes, articulados como un solo punto de comunicación con la Universidad y como herramienta para informar de actuaciones que puedan contravenir el ordenamiento jurídico y los principios reguladores sobre los que actúa la Universitat Politècnica de Catalunya. Con este canal interno de información se facilita el acceso a través de un punto único y se concentra el conocimiento por parte de la institución de actuaciones que puedan contravenir el ordenamiento jurídico y sus principios reguladores.
El título I regula el objeto y los objetivos de la normativa.
El título II regula el canal interno de información, del que se detallan los buzones que lo forman y, en concreto, el buzón del defensor universitario o defensora universitaria, el buzón de la Comisión de Convivencia, el buzón antifraude y el buzón de derechos lingüísticos.
El título III regula el buzón antifraude, del que se definen los principios, así como de los ámbitos objetivo y subjetivo que le son de aplicación. En concreto, se limita el ámbito objetivo a lo previsto en el artículo 2 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Por lo que respecta al ámbito subjetivo, se considera la posibilidad de que cualquier persona, miembro o no de la comunidad universitaria, pueda informar sobre las infracciones del ordenamiento jurídico definidas en el artículo 5 de la presente normativa, siempre que se hayan llevado a cabo en el ámbito de actuación de la UPC. Sin embargo y de conformidad con lo previsto en el artículo 35.2 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, se dan ciertos supuestos que están excluidos de la protección de la ley mencionada y de la presente normativa.
El título IV establece los responsables del canal interno de información y las funciones que desempeñan. Cabe destacar que el responsable del canal interno de información y del buzón antifraude debe ser un órgano colegiado compuesto por los siguientes miembros: defensor universitario o defensora universitaria, jefe o jefa del Servicio de Inspección, jefe o jefa de los Servicios Jurídicos y Convenios, jefe o jefa del Servicio de Control de Gestión, un miembro de la Comisión de Convivencia que sea personal docente e investigador (PDI), el delegado o delegada de Protección de Datos y un técnico o técnica cualificado con categoría suficiente.
El título V es el de mayor extensión y se divide en dos capítulos: un capítulo que regula los aspectos generales del procedimiento y un segundo capítulo que regula el procedimiento desde su inicio hasta la terminación de las actuaciones, incluyendo una referencia a la duración de las actividades de comprobación.
Por último, el título VI regula la protección de datos personales, la publicidad y el registro, y el título VIII incluye una sucinta referencia a las garantías del procedimiento.
TÍTULO PRELIMINAR
Definiciones
A efectos de la presente normativa, se entenderá por:
- Canal interno de información (CII): vía única a través de la cual los miembros de la comunidad universitaria y terceras personas, según corresponda, pueden acceder a diferentes buzones, articulados como un solo punto de comunicación con la Universidad y como herramienta para informar de actuaciones que puedan contravenir el ordenamiento jurídico y los principios reguladores sobre los que actúa la Universitat Politècnica de Catalunya.
En la actualidad, el canal interno de información (en lo sucesivo, CII) está formado por los siguientes buzones: buzón del defensor universitario o defensora universitaria, buzón de convivencia, buzón antifraude y buzón de derechos lingüísticos, sin perjuicio de que se puedan incorporar otros buzones o sistemas de comunicación que, de acuerdo con la normativa o bien por decisión de los órganos de gobierno, se consideren oportunos.
- Buzón antifraude: buzón interno cuyo objeto es vehicular, dentro de la misma Universidad, la comunicación de acciones u omisiones contrarias al ordenamiento jurídico, siempre que formen parte del ámbito de actuación del título III de la presente normativa y que hayan sido cometidas en el marco de actuaciones de la UPC.
- Comunicación de información sobre infracciones: información, incluyendo las sospechas razonables, sobre infracciones reales o potenciales que se hayan producido o que muy probablemente se puedan producir en el ámbito de actuación de la UPC. Esta información debe estar incluida en el ámbito de actuación del título III de la presente normativa.
- Persona que informa: persona física que comunica información sobre acciones u omisiones llevadas a cabo en el marco de actuaciones de la UPC contrarias al ordenamiento jurídico, respecto de las materias incluidas en el ámbito de aplicación del título III de la presente normativa.
Las personas que informan tienen la condición de personas colaboradoras con la Administración y solo serán consideradas personas interesadas en caso de que los hechos denunciados afecten a sus derechos o/e intereses legítimos.
- Persona afectada por la información: persona física o jurídica a la que se hace referencia en la comunicación de información de la infracción como la persona a la que se atribuye o con la que se asocia dicha infracción.
‐ Órgano colegiado responsable del canal interno de información y del buzón antifraude (OCRCIIBA): órgano colegiado que coordina el CII en la UPC y garantiza su buen funcionamiento, y que se encarga de tramitar los expedientes derivados de las comunicaciones de información sobre infracciones recibidas en el buzón antifraude, de conformidad con el procedimiento previsto en la presente normativa.
- Persona responsable de la gestión del CII y del buzón antifraude: persona física miembro del OCRCIIBA en quien se han delegado las facultades de gestión del CII y del buzón antifraude.
TÍTULO I. DISPOSICIONES GENERALES
Artículo 1. Objeto
1. El objeto de la presente normativa es la creación del CII de la Universitat Politècnica de Catalunya y la regulación de su funcionamiento, específicamente y de forma detallada el denominado buzón antifraude, de acuerdo con los requerimientos de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
2. En concreto, la presente normativa tiene los siguientes objetivos:
a) Integrar e identificar los distintos buzones de acceso de la UPC que forman parte del CII de la UPC.
b) Implantar el buzón antifraude de la UPC.
c) Garantizar un buzón seguro de comunicación efectivo entre las personas que informen sobre infracciones y la UPC.
d) Definir la política y la estrategia de la UPC, en la que se enuncien los principios generales en materia del buzón antifraude y defensa de la persona que informa.
e) Designar a la persona responsable del CII de la UPC.
f) Diseñar un procedimiento de gestión de las comunicaciones de información sobre infracciones recibidas.
g) Establecer las garantías para la protección de la persona que informa.
TÍTULO II. CANAL INTERNO DE INFORMACIÓN (CII)
Artículo 2. Canal interno de información
1. De conformidad con lo definido en el título preliminar de la presente normativa, el CII dispone de varios buzones de interacción entre los miembros de la comunidad universitaria o terceras personas, según corresponda, y la UPC. Este sistema se rige por los principios de coordinación, unidad de acceso, celeridad, interoperabilidad y confidencialidad, según la naturaleza de cada buzón.
2. Los buzones que forman parte del CII, sin perjuicio de que puedan ser modificados o que se integren otros, son los siguientes:
a) Buzón del defensor universitario o defensora universitaria
c) Buzón de convivencia
d) Buzón antifraude
e) Buzón de derechos lingüísticos
3. Se puede acceder a cada uno de estos buzones a través del CII, que está disponible en la página web principal de la Sede Electrónica de la UPC. Cada uno de los buzones se rige por un procedimiento propio y es gestionado por la persona responsable de cada buzón.
En caso de que una comunicación sea recibida en un buzón que no sea apropiado para la materia de la que se trate, el personal que reciba dicha comunicación guardará la confidencialidad debida sobre la misma y la remitirá, con carácter inmediato, a la persona responsable de la gestión del CII y del buzón antifraude con todas las garantías. Dicho personal debe recibir la formación correspondiente en esta materia.
4. Cuando la persona responsable reciba la comunicación, convocará al OCRCIIBA en un plazo máximo de cinco días hábiles, que tomará la decisión sobre el buzón al que, de acuerdo con su propia regulación, corresponda tramitar la comunicación. Esta decisión se adoptará de forma consensuada o, en su defecto, por mayoría cualificada.
Junto con la convocatoria, la persona responsable de la gestión del CII y del buzón antifraude remitirá a los miembros del OCRCIIBA un informe sucinto sobre el motivo por el que es apropiado dirigir la comunicación a otro buzón.
Una vez adoptada la decisión, que deberá incluirse en el acta, la persona responsable de la gestión del CII y del buzón antifraude notificará a la persona interesada la decisión.
Artículo 3. Objetivos del canal interno de información
El CII tiene los siguientes objetivos:
1. Crear las bases para el desarrollo de un sistema integrado de recepción de información en la Universidad, en las que se establecerá un procedimiento para la tramitación de las denuncias.
2. Implementar un buzón seguro para las personas que informen sobre infracciones normativas.
3. Fomentar una política que sirva para consolidar un sistema de integridad en la UPC.
TÍTULO III EL BUZÓN ANTIFRAUDE
Artículo 4. Principios generales del buzón antifraude
El buzón antifraude de la UPC tiene los siguientes principios generales:
a) Principio de buena fe: las personas que informen deberán actuar de buena fe y no realizar acusaciones falsas a través de este medio. El personal que deliberadamente realice declaraciones falsas, engañosas o de mala fe podrá ser objeto de la responsabilidad civil, penal o administrativa que corresponda con arreglo a la legislación vigente.
b) Principio de prohibición de represalias contra la persona que informe: la UPC deberá adoptar las medidas necesarias para prohibir todas las formas de represalia contra las personas que informen, incluyendo las amenazas de represalia y las tentativas de represalia.
c) Principio de confidencialidad: deberán adoptarse las medidas adecuadas para preservar la identidad y garantizar la confidencialidad de los datos de la persona que informa y de cualquier tercera persona que se mencione en la comunicación.
d) Principio de presunción de inocencia y de defensa: la UPC deberá velar por los derechos de presunción de inocencia y de defensa, de tal forma que se garanticen en todo momento los derechos de las personas afectadas por la comunicación a defenderse de cualquier acusación contra ellas con las máximas garantías legales.
e) Principio de contradicción: deberán adoptarse las medidas necesarias para que las personas afectadas por la comunicación de información sobre infracciones puedan rebatir las pruebas presentadas contra ellas.
Artículo 5. Ámbito objetivo de aplicación
El buzón antifraude es de aplicación únicamente por lo que respecta a las comunicaciones de información que traten sobre posibles vulneraciones del ordenamiento jurídico en relación con las siguientes materias:
1. Acciones u omisiones que puedan constituir infracciones del derecho de la Unión Europea, siempre que:
a) Pertenezcan al ámbito de aplicación de los actos de la Unión Europea enumerados en el anexo de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.
b) Afecten a los intereses financieros de la Unión Europea, de conformidad con lo previsto en el artículo 325 del Tratado de Funcionamiento de la Unión Europea, que regula la lucha contra el fraude.
c) Incidan en el mercado interior.
2. Acciones u omisiones que pudieran ser constitutivas de infracción penal o administrativa muy grave o grave de conformidad con la normativa vigente.
Artículo 6. Ámbito subjetivo de aplicación
1. Cualquier persona que tenga conocimiento de una acción u omisión contraria al ordenamiento jurídico puede presentar comunicaciones de información sobre infracciones en el buzón antifraude, siempre que formen parte del ámbito de actuación de este título de la presente normativa y que hayan sido realizadas en el marco de actuaciones de la UPC.
2. De conformidad con lo previsto en el artículo 35.2 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, quedan expresamente excluidos de la protección de la Ley y de la presente normativa aquellas personas que comuniquen o revelen:
a) Informaciones contenidas en comunicaciones que hayan sido inadmitidas de conformidad con lo previsto en el artículo 14.
b) Informaciones vinculadas a reclamaciones sobre conflictos interpersonales o que afecten únicamente a la persona que informa y a las personas a las que hace referencia la información.
c) Informaciones que estén completamente disponibles para el público o que constituyan meros rumores.
TÍTULO IV. RESPONSABLES DEL CANAL INTERNO DE INFORMACIÓN (CII)
Artículo 7. Responsables del CII
Son responsables del CII:
a) El órgano colegiado responsable del CII y del buzón antifraude (OCRCIIBA): órgano colegiado que coordina y garantiza el buen funcionamiento del CII en la UPC y se encarga de tramitar los expedientes derivados de las comunicaciones de información recibidas en el buzón antifraude, de conformidad con el procedimiento previsto en la presente normativa.
Este órgano colegiado desarrollará sus funciones de forma independiente y autónoma respecto al resto de órganos de la UPC y no podrá recibir instrucciones de ningún tipo en el ejercicio de sus competencias. Es nombrado y destituido por el rector o rectora, quien deberá realizar la correspondiente notificación a la Oficina Antifraude de Cataluña en el plazo de diez días hábiles desde la fecha de nombramiento o destitución.
El órgano colegiado está compuesto por los siguientes miembros:
- Defensor universitario o defensora universitaria de la UPC
- Jefe o jefa del Servicio de Inspección
- Jefe o jefa de los Servicios Jurídicos y Convenios
- Jefe o jefa del Servicio de Control de Gestión
- Delegado o delegada de Protección de Datos
- Un miembro de la Comisión de Convivencia del PDI, elegido entre los miembros de la misma Comisión
- Un técnico o técnica cualificado con categoría suficiente
Este órgano colegiado delegará en uno de sus miembros las facultades de gestión del CII y del buzón antifraude, que será la persona responsable de la gestión del CII y del buzón antifraude.
b) Administrador de la aplicación: persona o personas de la unidad responsable de la administración electrónica de la Universidad que se responsabilizan de asignar permisos a los receptores y determinar el nivel de visibilidad de las comunicaciones en la aplicación.
Los miembros de los órganos del CII deberán ejercer sus funciones en cumplimiento del deber de secreto y mantenimiento de la confidencialidad de los datos que traten. Por este motivo, los miembros de los órganos colegiados del CII deberán firmar una declaración de ausencia de conflicto de intereses (DACI).
Artículo 8. Funciones de los responsables del CII
Los responsables de la gestión del CII y del buzón antifraude tienen las siguientes funciones:
1.1 Respecto al CII:
a) Reenviar las comunicaciones recibidas por otros canales o buzones, previo informe y decisión del OCRCIIBA.
1.2 Respecto al buzón antifraude:
a) Emitir un informe preliminar sobre si las comunicaciones recibidas corresponden al ámbito de aplicación objetivo y subjetivo de la presente normativa, y analizar la información al efecto de determinar la admisión de la comunicación y el tratamiento que se debe dar a la misma en el marco del mismo canal.
b) Solicitar información y/o documentación a los órganos, unidades, áreas, servicios y personal de la UPC que tengan relación con los hechos objeto de la comunicación, con el propósito de comprobar su verosimilitud.
c) Informar a la persona afectada por la comunicación de la infracción de las acciones u omisiones que se le atribuyen y de su derecho a ser oída en cualquier momento, de conformidad con las medidas de confidencialidad adoptadas por el OCRCIIBA.
d) Redactar una propuesta de informe para su remisión al OCRCIIBA, que deberá aprobarla.
e) Cualquier otra función mencionada en la presente normativa o que acuerden los órganos de gobierno.
2. El OCRCIIBA tiene las siguientes funciones:
2.1 Respecto al CII:
a) Asegurar que los diferentes buzones del CII puedan vincularse, establecer unos criterios comunes y asegurar un funcionamiento y coordinación óptimos.
b) Reunirse, de acuerdo con la convocatoria, y determinar el buzón o instancia al que debe dirigirse o derivarse la comunicación.
2.2. Respecto al buzón antifraude:
a) Asistir a las reuniones ordinarias y extraordinarias del OCRCIIBA y participar en las decisiones de todas las fases del procedimiento del canal antifraude que pueden ser objeto de decisión y, en concreto:
a.1 Comprobar si la comunicación de infracción expone hechos o conductas que se encuentran dentro del ámbito de aplicación objetivo y subjetivo de la presente normativa, y analizar la información al efecto de determinar la admisión de la comunicación y el tratamiento que debe darse a la misma, previo informe del responsable de la gestión.
a.2 Acordar la solicitud de un informe a las unidades especializadas en materias de igualdad de género, de no discriminación y de prevención de riesgos laborales, o al delegado o delegada de Protección de Datos, entre otros, siempre que los hechos que sean objeto de la comunicación guarden alguna relación con estos ámbitos.
a.3 Acordar que se requiera la asistencia de una persona interna o externa que asesore sobre cualquier aspecto que tenga relación con el caso objeto de investigación, de forma que siempre se garantice la confidencialidad de la persona informante y de las personas que consten en la denuncia.
a.4 Acordar las pruebas a practicar durante la instrucción, así como las comunicaciones necesarias para averiguar los hechos objeto de instrucción.
a.5 Acordar las medidas de confidencialidad o anonimato que deben adoptarse durante el procedimiento.
a.6 Aprobar la propuesta de informe emitido por el responsable de la gestión o acordar su modificación.
a.7 Acordar la ampliación del plazo máximo para finalizar las actuaciones.
b) Cualquier otra que se mencione en la presente normativa o que determinen los órganos de gobierno con posterioridad.
c) Realizar propuestas de modificación y actualización de la presente normativa.
Todas las decisiones relativas al CII y al buzón antifraude, así como cualquier decisión que sea procedente, deberán tomarse de forma consensuada y, si no es posible, por mayoría cualificada.
Las normas de organización y funcionamiento del OCRCIIBA serán reguladas mediante un reglamento. En todo caso, será necesario que se sigan las siguientes normas:
1. Es obligatorio asistir a las sesiones y, en caso de no ser posible, deberá delegarse el voto.
2. Debe existir un quórum mínimo de cinco miembros para que se pueda constituir el órgano.
3. La adopción de acuerdos será válida en caso de que tenga lugar con el quórum del punto 2 o, como mínimo, con el acuerdo de tres de los miembros que constituyen el órgano en la sesión convocada.
4. Las funciones de las personas que administran la aplicación del sistema de información son las siguientes:
a) Asignar los permisos a las personas que deban ser usuarias de las aplicaciones, según las indicaciones del responsable del sistema de información.
b) Garantizar la confidencialidad y/o anonimización de los datos que consten en las comunicaciones, según corresponda.
TÍTULO V. PROCEDIMIENTO DE GESTIÓN DEL BUZÓN ANTIFRAUDE DE LA UPC
CAPÍTULO I. Aspectos generales
Artículo 9. Preferencia del buzón antifraude de la UPC
El buzón antifraude de la UPC es la vía preferente para informar sobre las acciones y omisiones previstas en el ámbito objetivo de la presente normativa, siempre que puedan ser tratadas de forma efectiva y siempre que la persona que informa considere que no existe riesgo de represalia. En este sentido, la UPC debe fomentar este uso preferente.
Artículo 10. Principios generales y reglas de uso del procedimiento de gestión del buzón antifraude
1. La presentación y gestión de las comunicaciones de información sobre infracciones deben respetar los siguientes principios generales y las reglas de uso:
a) La UPC velará por la confidencialidad y anonimato de las comunicaciones que se realicen mediante el buzón antifraude, según la elección de la persona que informa.
b) En caso de que una comunicación de información se realice con pleno conocimiento de su falsedad o faltando de forma temeraria y manifiesta a la verdad, podrá instarse el procedimiento civil, penal o disciplinario que corresponda.
c) Se garantizará la confidencialidad en la gestión del buzón antifraude, especialmente en lo que se refiere a la confidencialidad de la identidad de la persona informante y de cualquier tercera persona que se mencione en la comunicación, así como de las actuaciones que se desarrollen y su tramitación, de forma que se impida el acceso a personal no autorizado. La garantía de confidencialidad no impide que deba comunicarse la identidad de la persona que informa cuando lo requieran los juzgados y tribunales en ejercicio de su función jurisdiccional, la fiscalía o la autoridad administrativa correspondiente en ejercicio de las facultades de investigación, en los términos previstos en la ley estatal que sea de aplicación.
d) Todas las comunicaciones entre la persona que comunica la información sobre infracciones y el órgano gestor deben poder realizarse mediante la aplicación de gestión del buzón antifraude, como herramienta que garantiza la confidencialidad.
e) De conformidad con lo previsto en el artículo 35.2 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, quedan expresamente excluidos de la protección de la Ley y de la presente normativa aquellas personas que comuniquen o revelen:
e.1 Informaciones contenidas en comunicaciones que hayan sido inadmitidas de conformidad con lo previsto en el artículo 14.
e.2 Informaciones vinculadas a reclamaciones sobre conflictos interpersonales o que afecten únicamente a la persona que revela la infracción y a las personas a las que hace referencia tal revelación.
e.3 Informaciones que estén completamente disponibles para el público o que constituyan meros rumores.
e.4 Informaciones sobre acciones u omisiones que no estén incluidas en el ámbito de aplicación objetivo de la presente normativa, las cuales, además, son objeto de inadmisión.
2. Se establece la obligación de colaboración de todas las unidades y miembros de la comunidad universitaria de facilitar, de forma eficaz y sin dilaciones indebidas, las informaciones y la documentación que les requieran los órganos responsables del buzón antifraude.
Artículo 11. Derechos y obligaciones de la persona que informa
La persona que informa tiene los derechos y obligaciones que se detallan a continuación:
1. Derechos de la persona que informa:
a) Disponer de un buzón seguro de comunicación que garantice el anonimato y/o la confidencialidad de las comunicaciones, según la elección de la persona que informa.
b) Recibir una protección eficaz de la confidencialidad y/o el anonimato, en su caso, sin que pueda revelarse en ningún momento, de forma directa o indirecta, su identidad, salvo en los casos previstos por la ley. Este derecho se extiende también a los posibles testigos que intervengan en la comprobación de los hechos que hayan sido comunicados.
c) Exigir la comprobación de los hechos comunicados, siempre que respondan a los requerimientos previstos en la presente normativa y en la normativa estatal que sea de aplicación.
d) Conocer la decisión final, con los correspondientes límites, en caso de que la comunicación no sea anónima.
2. Obligaciones de la persona que informa:
a) Describir de la forma más detallada posible la conducta que comunica y proporcionar toda la documentación de la que dispone. En caso de no disponer de la documentación, podrá especificar dónde puede encontrarse.
b) Poseer una creencia razonable sobre la certeza y veracidad de la información que comunica y no formular comunicaciones con mala fe o abuso de derecho. La persona que comunique hechos vulnerando el principio de buena fe o con abuso de derecho puede incurrir en responsabilidad civil, penal y administrativa.
Artículo 12. Derechos y obligaciones de la persona afectada por la comunicación de información sobre infracciones
1. Las personas afectadas por la comunicación de información sobre infracciones tienen los siguientes derechos:
a) A la presunción de inocencia y honor.
b) A la máxima reserva en las actividades de ponderación y comprobación de hechos y, en general, en toda la instrucción del procedimiento.
c) A ser informadas de las acciones u omisiones que se le atribuyan y a ser oídas en cualquier momento, de conformidad con lo previsto en el procedimiento que se detalla a continuación.
d) Al derecho de defensa y acceso al expediente en los términos regulados por la ley estatal y la presente normativa.
e) A la preservación de su identidad, de tal forma que se garantice la confidencialidad de los hechos y datos del procedimiento.
CAPÍTULO II. Procedimiento de gestión del canal antifraude
Artículo 13. Inicio del procedimiento: presentación de las comunicaciones de información y recepción
1. Cualquier persona que tenga conocimiento de una acción u omisión contraria al ordenamiento jurídico, llevada a cabo en el marco de actuaciones de la UPC, respecto a aquellas materias definidas en el artículo 5 de la presente normativa, puede informar sobre las mismas mediante la comunicación de información sobre infracciones en el buzón antifraude de la UPC, que está disponible en la página web principal de la Sede Electrónica de la UPC.
2. La comunicación de información sobre infracciones también puede hacerse efectiva por cualquiera de las siguientes vías:
a) Por escrito, mediante el correo postal.
b) Verbalmente, mediante un sistema de mensajería de voz al que se puede acceder en la Sede Electrónica de la UPC.
c) Presencialmente, en el plazo máximo de 7 días hábiles desde la solicitud de reunión por parte de la persona que informa. Dicha solicitud de reunión se podrá realizar mediante el buzón antifraude, que está disponible en la página web de la UPC.
3. En caso de que la comunicación sea presencial, la reunión deberá llevarse a cabo con la persona responsable de la gestión del CII y del buzón antifraude y con otro miembro del OCRCIIBA.
4. Las comunicaciones verbales y presenciales deberán documentarse mediante la grabación de la conversación o una transcripción completa y exacta, que realizará el personal responsable de su tratamiento. En ambos casos, se informará a la persona que informa, a la que se deberá ofrecer la posibilidad de comprobar, rectificar y aceptar la transcripción mediante su firma.
5. La comunicación de información sobre infracciones contendrá la siguiente información:
a) Descripción de los hechos, de los que deberán especificarse las fechas en que se produjeron.
b) Identificación del daño o daño potencial para la institución o terceras personas que se hayan producido dentro del ámbito de actuación de la UPC.
c) Identificación de las personas que han participado.
d) Identificación de testigos.
e) Identificación de los procesos, convocatorias o expedientes afectados.
f) Aportación de cualquier documentación que sirva para acreditar los hechos comunicados.
6. La comunicación de información podrá ser anónima, de modo que no sea posible identificar a la persona que ha informado. En los supuestos en que la denuncia no sea anónima, deberá garantizarse la confidencialidad de la persona que informa, de las personas que tienen derechos o intereses legítimos afectados por los hechos, así como de cualquier tercera persona que se mencione, de conformidad con lo previsto en el artículo 33 de la Ley 2/2023.
7. Una vez presentada la comunicación de información se procederá a su registro en el sistema de gestión de la información del buzón antifraude. El sistema de gestión de información está contenido en una base de datos segura y de acceso restringido exclusivamente al personal autorizado, donde se registran todas las comunicaciones recibidas, de las que deben cumplimentarse los siguientes datos: a) fecha de recepción, b) código de identificación, c) actuaciones desarrolladas, d) medidas adoptadas y e) fecha de cierre.
8. Una vez presentada la comunicación de información sobre infracciones en el buzón antifraude, se generará automáticamente un acuse de recibo que confirme su correcta recepción, de conformidad con lo previsto en el artículo 9.2.c de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Este acuse de recibo incorporará un código alfanumérico de identificación y de acceso a un canal confidencial.
Artículo 14. Análisis preliminar y admisión de las comunicaciones
1. Una vez registrada la información, el OCRCIIBA valorará si la comunicación de información expone hechos o conductas que pertenecen el ámbito de aplicación objetivo y subjetivo de la presente normativa, y analizará la información a efectos de determinar la admisión de la comunicación y el tratamiento que debe darse a la misma, previo informe de la persona responsable de la gestión del CII y del buzón antifraude.
2. Para realizar el análisis preliminar se podrá solicitar información adicional a la persona que informa.
3. En caso de duda sobre si la información facilitada es objeto de delito, se solicitará un dictamen a un abogado o abogada penalista. Según el contenido del informe, podrá enviarse el mismo al Ministerio Fiscal.
4. Una vez realizado el análisis preliminar, el OCRCIIBA tomará los siguientes acuerdos, en un plazo no superior a diez días hábiles desde la fecha de entrada en el registro de la información:
a) Inadmitir la comunicación de información en cualquiera de los siguientes supuestos:
a.1 Que los hechos comunicados carezcan de cualquier tipo de verosimilitud o cuando la escasez de la información remitida, la descripción excesivamente genérica de los hechos o la falta de elementos de prueba suministrados no permitan verificar de forma razonable la información recibida y determinar mínimamente su tratamiento.
a.2 Que los hechos comunicados no formen parte del ámbito objetivo, subjetivo y temporal de aplicación de la presente normativa.
a.3 Que los hechos comunicados carezcan manifiestamente de fundamento o que existan indicios razonables de la obtención de la información mediante la comisión de un delito.
a.4 En caso de que se hayan archivado actuaciones previas sobre los mismos hechos o similares, sin que la nueva comunicación contenga información nueva o significativa, salvo que existan motivos para formalizar nuevos trámites de investigación.
b) Admitir a trámite la comunicación de información sobre infracciones.
c) Remitir con carácter inmediato la información al Ministerio Fiscal cuando existan indicios claros de delito o a la Fiscalía Europea en caso de que los hechos afecten a intereses financieros de la Unión Europea.
d) Remitir la comunicación a cualquier otra unidad o servicio de la UPC que sea competente, tales como el Servicio de Inspección.
5. Tanto la admisión a trámite como la inadmisión de la comunicación de información se notificarán a la persona que informa, salvo que la comunicación haya sido anónima o que la persona que informa haya renunciado a cualquier comunicación e información sobre el estado del procedimiento.
6. En caso de inadmisión de la comunicación sobre infracciones, que deberá estar motivada oportunamente, se procederá a su archivo. En estos supuestos, se informará a la persona que informa de la posibilidad de presentar una denuncia externa en la Oficina Antifraude de Cataluña.
7. Contra el acuerdo del OCRCIIBA no se podrá interponer ningún recurso.
Artículo 15. Instrucción
1. La instrucción será iniciada por la persona responsable de la gestión del CII y del buzón antifraude, solicitando información y/o documentación a los órganos, unidades, áreas, servicios y personal de la UPC que tengan relación con los hechos objeto de la comunicación, con el propósito de comprobar su verosimilitud.
2. A fin de garantizar la máxima confidencialidad y el secreto de las investigaciones, se nombrará un interlocutor o interlocutora en cada unidad administrativa de la UPC, con quien se llevarán a cabo las comunicaciones en un entorno restringido de comunicación propiedad de la Universidad con autorización de accesos restringidos y temporales.
3. Durante la instrucción, el OCRCIIBA podrá emitir los siguientes acuerdos:
a) Solicitar un informe a las unidades especializadas en materias de igualdad de género, de no discriminación y de prevención de riesgos laborales, o al delegado o delegada de Protección de Datos, entre otros, siempre que los hechos que sean objeto de la comunicación tengan alguna relación con esos ámbitos.
b) Requerir la asistencia de una persona interna o externa que asesore sobre cualquier aspecto que tenga relación con el caso objeto de investigación, de tal forma que siempre se garantice la confidencialidad de la persona que informa y de las personas que constan en la comunicación de información sobre infracciones.
c) Acordar las pruebas a practicar durante la instrucción, así como las comunicaciones necesarias para averiguar los hechos objeto de instrucción. Siempre que sea posible, se intentará entrevistar a la persona afectada por la comunicación para que pueda exponer su versión y aportar medios de prueba, sin perjuicio de que ejerza el derecho previsto en el apartado 4 de este artículo.
d) Acordar el medio por el que se remitirá la información a la persona afectada por la comunicación de información y, en concreto, la información que se le facilitará y las medidas que se adoptarán para garantizar el anonimato o confidencialidad de la identidad de la persona que informa y de terceras personas.
e) Cualquier otra decisión que se considere adecuada durante la tramitación del procedimiento.
4. Durante la instrucción, se informará a la persona afectada por la comunicación de información de las acciones u omisiones que se le atribuyen y de su derecho a ser oída en cualquier momento, de conformidad con lo acordado por los miembros del OCRCIIBA.
5. Durante la instrucción no se tratarán datos que no sean pertinentes. En caso de que se trate de un accidente, deberán eliminarse sin dilaciones, previo análisis del delegado o delegada de Protección de Datos.
Artículo 16. Audiencia
1. Finalizada la fase de instrucción, se otorgará a la persona afectada un plazo de 10 días hábiles para que realice alegaciones y aporte los documentos que considere oportunos.
2. En caso de que lo solicite la persona afectada por la comunicación, esta tendrá derecho al acceso al expediente. En ningún momento la persona afectada podrá tener acceso a la comunicación de información sobre infracciones, ni se le podrá revelar información que pueda identificar a la persona que informa o a terceras personas. En todo caso, previamente a la audiencia del expediente, el delegado o delegada de Protección de Datos analizará la información y emitirá el informe correspondiente, incluyendo la posibilidad de anonimización o pseudoanonimización del contenido de la información que se pretenda facilitar.
Artículo 17. Terminación de las actuaciones
1. Una vez finalizadas la fase de instrucción y audiencia, la persona responsable de la gestión del CII y del buzón antifraude emitirá una propuesta de informe, que constará de los siguientes puntos:
a) Exposición de los hechos que figuran en la comunicación de información, junto con el código de identificación y la fecha de registro.
b) Descripción de las actuaciones que se hayan llevado a cabo con el objetivo de comprobar la verosimilitud de los hechos.
c) Documentación analizada.
d) Fundamentos jurídicos que motiven la concurrencia o ausencia de indicios razonables de vulneración del ordenamiento jurídico que entre en el ámbito de aplicación de la presente normativa.
e) Conclusiones y recomendaciones, que se podrán concretar en:
e.1 Archivo del expediente.
e.2 Remisión al Ministerio Fiscal en caso de que, a pesar de no haberse apreciado inicialmente indicios de delito, sí se aprecian durante la instrucción.
e.3 Traslado al servicio o unidad correspondiente a efectos de iniciar un expediente disciplinario, un expediente de reintegro o cualquier otro que se considere adecuado.
2. La propuesta de informe se enviará a los miembros del OCRCIIBA para su aprobación o modificación, en su caso.
3. El resultado del procedimiento se notificará a la persona que informa, con los límites correspondientes, en caso de que la comunicación no sea anónima o salvo que haya renunciado a cualquier comunicación. En caso de que los datos e informes que figuren en el expediente tengan carácter reservado o confidencial, de conformidad con alguna disposición con rango de ley, el contenido del resultado que se traslade a la persona que informa tendrá carácter genérico.
4. No se podrá recurrir contra las decisiones adoptadas por el OCRCIIBA por la vía administrativa, ni por la vía contencioso-administrativa, sin perjuicio del recurso administrativo o contencioso-administrativo que se pueda interponer ante una eventual resolución que ponga fin al procedimiento sancionador que se pueda incoar.
Artículo 18. Duración de las labores de comprobación y días inhábiles a efectos del procedimiento
1. El plazo máximo para finalizar las actuaciones y notificar el informe será de tres meses desde la recepción de la comunicación de información. El OCRCIIBA podrá ampliar el plazo a tres meses más cuando sea necesario por circunstancias específicas del caso; en especial, debido a la complejidad del caso.
2. De conformidad con el Acuerdo 149/2016, del Consejo de Gobierno de la UPC, por el que se aprueba la adaptación del calendario de días inhábiles de la Sede Electrónica de la Universidad y de los procedimientos administrativos tramitados por la UPC a partir de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, el mes de agosto tiene la consideración de inhábil.
3. La finalización o ampliación del plazo máximo de actuaciones no producirá ningún efecto jurídico.
TÍTULO VI. PROTECCIÓN DE DATOS PERSONALES, PUBLICIDAD Y REGISTRO DE LAS INFORMACIONES
Artículo 19. Protección de datos personales
1. El rector o rectora, como responsable de la implantación del CII, tendrá la condición de responsable del tratamiento de los datos personales, de conformidad con lo dispuesto en la normativa sobre protección de datos personales.
2. El tratamiento de los datos personales en el buzón antifraude se considerará lícito en tanto que es necesario para el cumplimiento de una obligación legal.
3. Se informará de forma expresa a las personas que informa de que en todo caso se reserva su identidad y que no se comunica a las personas a las que se refieren los hechos relatados ni a terceras personas.
4. La persona afectada por la comunicación de información sobre infracciones no será en ningún caso informada de la identidad de la persona que informa.
5. En caso de que la persona a la que se refieren los hechos relatados en la comunicación ejerza el derecho de oposición, se presumirá que, salvo prueba en contrario, existen motivos legítimos imperiosos que legitiman el tratamiento de sus datos personales.
Artículo 20. Tratamiento de datos personales en el sistema de información
1. El acceso a los datos personales contenidos en el CII quedará limitado, dentro del ámbito de sus competencias y funciones, exclusivamente a:
a) Miembros del OCRIIBA y persona responsable de la gestión.
b) La persona responsable de recursos humanos o el órgano competente debidamente designado, solo cuando sea preciso adoptar medidas disciplinarias contra un trabajador o trabajadora.
c) La persona responsable de los Servicios Jurídicos, en caso de que deban adoptarse medidas legales en relación con los hechos relatados en la comunicación.
d) Las personas que se designen eventualmente para ocuparse del tratamiento.
e) El delegado o delegada de Protección de Datos.
2. Será lícito que otras personas traten los datos o incluso terceras personas cuando sea necesario adoptar medidas correctoras sobre la entidad o tramitar los procedimientos sancionadores o penales que sean procedentes.
3. Se informará al personal y a las terceras personas sobre el tratamiento de datos personales en el marco de los sistemas de información a los que hace referencia la presente normativa.
Artículo 21. Publicidad de la información
En cumplimiento de lo previsto en el artículo 25 de la Ley 2/2023, se publicará toda la información sobre el uso del canal antifraude, así como de cualquier otro tipo de buzón que forme parte del CII, en la página inicial de la Sede Electrónica de la UPC. Dicha información deberá constar en una sección separada y que pueda ser fácilmente identificada.
Por lo que respecta al buzón antifraude, se informará, como mínimo, de los siguientes aspectos:
1. Ámbito objetivo y subjetivo para comunicar información sobre infracciones mediante este buzón.
2. Trámites característicos del procedimiento de gestión.
3. Régimen de confidencialidad aplicable.
4. Vías de recurso y asesoramiento sobre confidencialidad para presentar comunicaciones de informaciones y protección frente a posibles represalias.
5. Información sobre el tratamiento de datos personales.
6. Datos de contacto de la Oficina Antifraude de Cataluña, en calidad de buzón de denuncia externa.
Artículo 22. Registro de las informaciones y protección de datos
1. La UPC deberá disponer de un libro de registro de las comunicaciones de información sobre infracciones recibidas y de las investigaciones internas llevadas a cabo, a fin de garantizar los requisitos de confidencialidad previstos por la ley.
2. Dicho registro no será público y únicamente podrá accederse a su contenido a petición razonada de la autoridad judicial competente, mediante auto, en el marco de un procedimiento judicial y bajo la tutela del mismo.
TÍTULO VII. GARANTÍAS DE PROTECCIÓN
Artículo 23. Las garantías de protección
La persona que informa disfruta de las siguientes garantías:
1. Decidir si desea formular la comunicación de información sobre infracciones de forma anónima. En todo caso, se garantizará la reserva de su identidad.
2. Formular la comunicación de información a través del buzón antifraude, verbalmente, por escrito o mediante reunión presencial.
3. Renunciar a recibir comunicaciones del procedimiento.
4. Conocer el estado de tramitación de su comunicación de información y el resultado del procedimiento, en caso de que la comunicación no sea anónima.
DISPOSICIONES ADICIONALES, TRANSITORIAS Y FINALES
DISPOSICIONES ADICIONALES
Disposición adicional primera. Aprobación del Reglamento de organización y funcionamiento del órgano colegiado del OCRCIIBA
El Reglamento de organización y funcionamiento del OCRCIIBA deberá ser aprobado en el plazo de seis meses desde su aprobación por la presente normativa.
Disposición adicional segunda. Formación
Para garantizar la comunicación interna del CII, el plan de formación correspondiente incluirá formación en este ámbito.
DISPOSICIONES TRANSITORIAS
Disposición transitoria única. Extensión de las medidas de protección
Las medidas de protección contempladas en la presente normativa se aplicarán a todas las vulneraciones presuntas del ordenamiento jurídico incluidas en el ámbito de aplicación objetivo y subjetivo de la presente normativa que se hayan producido desde el 17 de diciembre de 2019.
DISPOSICIONES FINALES
Disposición final única
La presente normativa entrará en vigor el día siguiente de su aprobación por parte de los órganos de gobierno de la UPC, Consejo de Gobierno y Consejo Social, y será publicada posteriormente en el Diario Oficial de la Generalidad de Cataluña (DOGC).
En el transcurso de tres meses desde la fecha de publicación de la presente normativa, se publicará, mediante una instrucción del gerente o gerenta, un anexo que contenga una relación del personal de cada unidad administrativa de la UPC con quien mantendrá la interlocución la persona responsable de la gestión del canal interno de información y del buzón antifraude o del órgano colegiado responsable, según corresponda.
