[[en]]EU’s Protection of Whistleblowers Directive: Key Takeaways [[es]]Lo esencial de la Directiva de la UE para la protección de los Whistleblowers

[[en]]Legislation [[es]]Legislación

On October 7th, 2019, the European Parliament published the Directive on the Protection of Persons who Report Breaches of Union Law, most commonly known as the Protection of Whistleblowers directive, which requires member states to implement it fully by May 15th, 2021.

The new rules were created to ensure the safety of those who report breaches of the law that may be harmful to the public interest. According to the directive, fear of retaliation may discourage whistleblowers and thus promote –or, at the very least, allow– the harm they intended to prevent in the first place.

The implications of the directive go deep and bring significant change to the way organizations prevent and manage issues from money laundering to consumer and data protection. Although some companies in EU member countries had already established channels to report wrongdoing, few of them follow up on the process and ensure there’s no professional or personal retaliation for the whistleblower.

The directive has three main takeaways that must be understood by all affected organizations and their members.

1. The Growing Scope Of Regulations

First, the directive applies to all private organizations with over 50 employees or with an annual turnover in excess of EUR 10 million, whatever their activity. This showcases a larger trend in terms of compliance, which is slowly shifting away from the financial sector –which has to comply even if they don’t meet the aforementioned thresholds– and into economic activity as a whole.

As the scope of regulations and regulations themselves continue to grow, businesses should stay one step ahead by creating compliance areas, enforcing all policies they can afford to even when they’re not obligated to do so, and keeping track of regulatory trends to prepare for what’s coming. Ensuring good practices before they’re regulated is a good practice in itself.

2. The Basics Of Whistleblowing

Article 13 of the directive states that in order to be protected, whistleblowers must fulfill two conditions: to act in good faith and to use internal reporting channels before going to the public.

The first one refers, essentially, to the fact that those who report must have reasonable grounds to assume the sensitive information in question is actually related to a breach of EU law that can cause harm to the public interest.

The second one establishes that going to the public or the media is the last resort, to be used only if internal channels (the first option) and going to the competent authorities (the fall-back option) fail. This condition leads to the next takeaway: that companies must create effective internal channels for reports to be made.

3. The Likely Need For A New Committee –And The Technology To Manage It

The third takeaway stems from the second and has a more practical focus for organizations, as it’s about the governance implications of the directive. Article 4f of the directive establishes that they must set up the internal reporting channel in a way that ensures independence and absence of conflict of interest.

While in smaller entities one person is enough to handle the reporting channel and all its functions, larger organizations will need to set up a committee to process reports, and a carefully selected and dutifully observed one at that, since the obligations don’t stop at taking in the report.

The team or committee in charge must follow up on reports within seven days, and provide a response to the reporter within three months. They also must keep a thorough and easily accessible record of the procedures in case it’s necessary to report to competent authorities –meaning the Member States themselves, who must ensure the second stage reporting channels.

Ensuring the proper operation of reporting committees is no easy feat, as the inquiry into the reports will likely require a series of meetings and actions to be completed, followed-up on and documented, and which will then prompt further actions. To do this while complying with the documentation requirements of the directive, the committee’s activity must be handled through tools that allow to set the proper agenda for each meeting and keep track of all previous and resulting tasks, as well as recording the decision-making process that leads to the resolution of the case.

This directive is not the only one that requires such strict record-keeping, with committees related to AML or crime prevention, ethics, and internal audit must also tackle those demands through technology. And as the amount of requisite committees continues to grow, so will the need for organizations to have a tool prepared to manage their increasingly complex governance structures.

Looking for a corporate governance solution? Head over to our Boards & Committees page.

El 7 de octubre de 2019, el Parlamento Europeo publicó la Directiva relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, mejor conocida como la Directiva de Protección a Whistleblowers, que los países miembros deberán implementar totalmente antes del 15 de Mayo de 2021.

La idea de la directiva es garantizar la integridad física y profesional de aquellos individuos que reporten situaciones dañinas para el interés público, y evitar que el miedo a represalias desaliente a los whistleblowers y por lo tanto promueva –o, por lo menos, permita– el daño que querían prevenir.

La directiva profundiza y trae un cambio significativo en la forma en que las organizaciones previenen y manejan problemas desde el lavado de dinero hasta la protección de datos. Aunque algunas compañías dentro de países miembros de la UE ya han establecido canales para reportar cualquier acto indebido, pocos de ellos monitorean el proceso y se aseguran que no haya ningún tipo de represalia profesional o personal hacia el whistleblower.

La directiva tiene tres puntos principales que deben ser entendidos por todas las organizaciones afectadas y sus miembros:

El Largo Alcance De Las Regulaciones

Primero, la directiva aplica a todas las organizaciones privadas con más de 50 empleados con ingresos anuales por encima de los 10 millones de euros, sea cual sea su actividad.

Así, la directiva demuestra la tendencia del compliance de ir más allá del sector financiero –cuyas organizaciones tienen que cumplir aunque no tengan los requisitos antes mencionados– y convirtiéndose en una actividad económica en general.

Los negocios deben mantener a la delantera creando un área de cumplimiento, implementando todas las políticas que se puedan permitir aunque no estén obligados a hacerlo, y monitorear las tendencias regulatorias para prepararse para lo que se avecine. Asegurar buenas prácticas antes de que sean reguladas es una buena práctica en sí misma.

Lo Básico Sobre El Whistleblowing

El artículo 13 de la directiva dicta que, para ser protegidos, los whistleblowers deben cumplir con dos condiciones: estar actuando de buena fe y usar los canales internos antes de hacer el caso público.

La primera se refiere, esencialmente, a que aquellos que denuncien deben tener unas bases razonables para asumir que la información que transmiten es de hecho una infracción de la ley de la UE que puede dañar el interés público.

La segunda establece que hacerlo público a los medios sea el último recurso, y será usado solo si los canales internos (la primera opción) o ir a las autoridades competentes (la segunda) fallan. Lo que lleva al siguiente punto: las compañías deben crear canales internos eficientes para procesar las denuncias.

La Posible Necesidad De Un Nuevo Comité Y La Tecnología Para Manejarlo

El tercer punto tiene un enfoque más práctico para las organizaciones, y es sobre las implicaciones de gobernanza de la directiva. El artículo 4f establece que se debe crear un canal interno de denuncias que asegure la independencia y ausencia de conflictos de interés.

Mientras que en entidades pequeñas una persona es suficiente para manejar el canal de denuncias y sus funciones, organizaciones más grandes necesitarán crear un comité para procesarla y darles seguimiento, ya que las obligaciones no acaban al recibir el reporte.

El equipo o comité a cargo deberá confirmar el recibimiento dentro de los siguientes siete días, y dar respuesta al denunciante dentro de los siguientes tres meses. También deberán mantener y completar un registro fácilmente accesible de los procedimientos en caso de que sea necesario reportar a las autoridades competentes –es decir, los mismos países miembros.

Asegurarse del correcto funcionamiento de comités de denuncias no es trabajo fácil, ya que la investigación requerirá una serie de reuniones y acciones a ser completadas y documentadas, lo cual resultará en acciones futuras.

Para hacer esto al mismo tiempo en que se cumple con la documentación requerida de la directiva, la actividad del comité debe ser gestionada con una herramienta que le permita establecer una agenda apropiada para cada reunión y monitorear todas las tareas pasadas y ya realizadas, además de registrar el proceso de toma de decisiones.

Esta directiva no es la única que requiere un registro tan estricto, con comités relacionados con la prevención de crímenes, y auditoría interna debe afrontar estas demandas con tecnología. Mientras el número de comités requeridos siga creciendo, también lo hará la necesidad de las organizaciones de tener una herramienta adecuada para manejar estructuras gubernamentales cada vez más complejas.

[[en]]FREE WHITEPAPER [[es]]GUÍA GRATUITA

On October 7th, 2019, the European Parliament published the Directive on the Protection of Persons who Report Breaches of Union Law, most commonly known as the Protection of Whistleblowers directive, which requires member states to implement it fully by May 15th, 2021.

The new rules were created to ensure the safety of those who report breaches of the law that may be harmful to the public interest. According to the directive, fear of retaliation may discourage whistleblowers and thus promote –or, at the very least, allow– the harm they intended to prevent in the first place.

The implications of the directive go deep and bring significant change to the way organizations prevent and manage issues from money laundering to consumer and data protection. Although some companies in EU member countries had already established channels to report wrongdoing, few of them follow up on the process and ensure there’s no professional or personal retaliation for the whistleblower.

The directive has three main takeaways that must be understood by all affected organizations and their members.

1. The Growing Scope Of Regulations

First, the directive applies to all private organizations with over 50 employees or with an annual turnover in excess of EUR 10 million, whatever their activity. This showcases a larger trend in terms of compliance, which is slowly shifting away from the financial sector –which has to comply even if they don’t meet the aforementioned thresholds– and into economic activity as a whole.

As the scope of regulations and regulations themselves continue to grow, businesses should stay one step ahead by creating compliance areas, enforcing all policies they can afford to even when they’re not obligated to do so, and keeping track of regulatory trends to prepare for what’s coming. Ensuring good practices before they’re regulated is a good practice in itself.

2. The Basics Of Whistleblowing

Article 13 of the directive states that in order to be protected, whistleblowers must fulfill two conditions: to act in good faith and to use internal reporting channels before going to the public.

The first one refers, essentially, to the fact that those who report must have reasonable grounds to assume the sensitive information in question is actually related to a breach of EU law that can cause harm to the public interest.

The second one establishes that going to the public or the media is the last resort, to be used only if internal channels (the first option) and going to the competent authorities (the fall-back option) fail. This condition leads to the next takeaway: that companies must create effective internal channels for reports to be made.

3. The Likely Need For A New Committee –And The Technology To Manage It

The third takeaway stems from the second and has a more practical focus for organizations, as it’s about the governance implications of the directive. Article 4f of the directive establishes that they must set up the internal reporting channel in a way that ensures independence and absence of conflict of interest.

While in smaller entities one person is enough to handle the reporting channel and all its functions, larger organizations will need to set up a committee to process reports, and a carefully selected and dutifully observed one at that, since the obligations don’t stop at taking in the report.

The team or committee in charge must follow up on reports within seven days, and provide a response to the reporter within three months. They also must keep a thorough and easily accessible record of the procedures in case it’s necessary to report to competent authorities –meaning the Member States themselves, who must ensure the second stage reporting channels.

Ensuring the proper operation of reporting committees is no easy feat, as the inquiry into the reports will likely require a series of meetings and actions to be completed, followed-up on and documented, and which will then prompt further actions. To do this while complying with the documentation requirements of the directive, the committee’s activity must be handled through tools that allow to set the proper agenda for each meeting and keep track of all previous and resulting tasks, as well as recording the decision-making process that leads to the resolution of the case.

This directive is not the only one that requires such strict record-keeping, with committees related to AML or crime prevention, ethics, and internal audit must also tackle those demands through technology. And as the amount of requisite committees continues to grow, so will the need for organizations to have a tool prepared to manage their increasingly complex governance structures.

Looking for a corporate governance solution? Head over to our Boards & Committees page.

El 7 de octubre de 2019, el Parlamento Europeo publicó la Directiva relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, mejor conocida como la Directiva de Protección a Whistleblowers, que los países miembros deberán implementar totalmente antes del 15 de Mayo de 2021.

La idea de la directiva es garantizar la integridad física y profesional de aquellos individuos que reporten situaciones dañinas para el interés público, y evitar que el miedo a represalias desaliente a los whistleblowers y por lo tanto promueva –o, por lo menos, permita– el daño que querían prevenir.

La directiva profundiza y trae un cambio significativo en la forma en que las organizaciones previenen y manejan problemas desde el lavado de dinero hasta la protección de datos. Aunque algunas compañías dentro de países miembros de la UE ya han establecido canales para reportar cualquier acto indebido, pocos de ellos monitorean el proceso y se aseguran que no haya ningún tipo de represalia profesional o personal hacia el whistleblower.

La directiva tiene tres puntos principales que deben ser entendidos por todas las organizaciones afectadas y sus miembros:

El Largo Alcance De Las Regulaciones

Primero, la directiva aplica a todas las organizaciones privadas con más de 50 empleados con ingresos anuales por encima de los 10 millones de euros, sea cual sea su actividad.

Así, la directiva demuestra la tendencia del compliance de ir más allá del sector financiero –cuyas organizaciones tienen que cumplir aunque no tengan los requisitos antes mencionados– y convirtiéndose en una actividad económica en general.

Los negocios deben mantener a la delantera creando un área de cumplimiento, implementando todas las políticas que se puedan permitir aunque no estén obligados a hacerlo, y monitorear las tendencias regulatorias para prepararse para lo que se avecine. Asegurar buenas prácticas antes de que sean reguladas es una buena práctica en sí misma.

Lo Básico Sobre El Whistleblowing

El artículo 13 de la directiva dicta que, para ser protegidos, los whistleblowers deben cumplir con dos condiciones: estar actuando de buena fe y usar los canales internos antes de hacer el caso público.

La primera se refiere, esencialmente, a que aquellos que denuncien deben tener unas bases razonables para asumir que la información que transmiten es de hecho una infracción de la ley de la UE que puede dañar el interés público.

La segunda establece que hacerlo público a los medios sea el último recurso, y será usado solo si los canales internos (la primera opción) o ir a las autoridades competentes (la segunda) fallan. Lo que lleva al siguiente punto: las compañías deben crear canales internos eficientes para procesar las denuncias.

La Posible Necesidad De Un Nuevo Comité Y La Tecnología Para Manejarlo

El tercer punto tiene un enfoque más práctico para las organizaciones, y es sobre las implicaciones de gobernanza de la directiva. El artículo 4f establece que se debe crear un canal interno de denuncias que asegure la independencia y ausencia de conflictos de interés.

Mientras que en entidades pequeñas una persona es suficiente para manejar el canal de denuncias y sus funciones, organizaciones más grandes necesitarán crear un comité para procesarla y darles seguimiento, ya que las obligaciones no acaban al recibir el reporte.

El equipo o comité a cargo deberá confirmar el recibimiento dentro de los siguientes siete días, y dar respuesta al denunciante dentro de los siguientes tres meses. También deberán mantener y completar un registro fácilmente accesible de los procedimientos en caso de que sea necesario reportar a las autoridades competentes –es decir, los mismos países miembros.

Asegurarse del correcto funcionamiento de comités de denuncias no es trabajo fácil, ya que la investigación requerirá una serie de reuniones y acciones a ser completadas y documentadas, lo cual resultará en acciones futuras.

Para hacer esto al mismo tiempo en que se cumple con la documentación requerida de la directiva, la actividad del comité debe ser gestionada con una herramienta que le permita establecer una agenda apropiada para cada reunión y monitorear todas las tareas pasadas y ya realizadas, además de registrar el proceso de toma de decisiones.

Esta directiva no es la única que requiere un registro tan estricto, con comités relacionados con la prevención de crímenes, y auditoría interna debe afrontar estas demandas con tecnología. Mientras el número de comités requeridos siga creciendo, también lo hará la necesidad de las organizaciones de tener una herramienta adecuada para manejar estructuras gubernamentales cada vez más complejas.