I. INTRODUCCIÓN, OBJETO Y APLICACIÓN

Esta política es de aplicación a ICTS Hispania, S.L.U. con NIF A78578499 y domicilio social en Avenida Montes de Oca 19 Nave 9 en San Sebastían de los Reyes y tiene como objetivo establecer un Sistema interno de Información para la comunicación de posibles infracciones normativas, infracción de políticas internas y/o éticas y establecer un régimen de protección al informante , en cumplimiento de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

Este Sistema es un mecanismo que permite a las personas trabajadoras de la empresa, y otras partes interesadas, denunciar cualquier tipo de conducta ilegal o contraria a nuestros valores y principios éticos, sin temor a represalias fortaleciendo la cultura de la información, de las infraestructuras de integridad de las organizaciones y el fomento de la cultura de la información o comunicación como mecanismo para prevenir y detectar amenazas al interés público. De esta manera, se busca promover una cultura de transparencia, integridad y responsabilidad en nuestra organización, al mismo tiempo que se protege a las personas trabajadoras que deciden hacer una denuncia de buena fe.

II. SISTEMA INTERNO DE INFORMACIÓN

El Sistema interno de información es el cauce preferente para informar sobre las acciones u omisiones previstas siempre que se pueda tratar de manera efectiva la infracción y si la pesona denunciante considera que no hay
riesgo de represalias.
El Sistema interno de información está a cargo de la persona Responsable del sistema interno, y cuenta con diversos gestores según el ámbito de la información recibida.

La persona responsable del sistema se ocupará de:

• Recepción, registro y gestión de las comunicaciones recibidas a través del Sistema interno de información.
• Designación de la persona o equipo encargado de la investigación de las comunicaciones recibidas.
• Aseguramiento de la protección de los informantes y la confidencialidad de las comunicaciones recibidas.
• Evaluación de la veracidad y credibilidad de las comunicaciones recibidas.
• Toma de decisiones sobre las medidas adecuadas en función de los resultados de la investigación.
• Seguimiento y revisión periódica del proceso de gestión de comunicaciones y de la política interna de la empresa.
• Elaboración de informes y recomendaciones para la alta dirección sobre las comunicaciones recibidas y las medidas adoptadas.

Los informantes dentro del ámbito de aplicación de la ley pueden realizar sus comunicaciones a través de los siguientes medios:

• Enlace al canal online de denuncias: https://app.legalsending.com/
• Código QR:
  
• A solicitud de la persona informante, mediante petición dirigida a la persona Responsable del Sistema, podrá realizarse la comunicación mediante una reunión presencial solicitándolo vía e-mail en: canaldenuncias@ictsspain.com.

III. SUJETOS DENUNCIANTES – INFORMANTES

El Sistema interno de información podrá ser utilizado por:

1. Las personas que tengan la condición de empleados/as o trabajadores/as por cuenta ajena.
2. Las personas autónomas que colaboran con la empresa (freelance).
3. Las personas accionistas, partícipes y personas pertenecientes al órgano de administración, dirección o supervisión de la empresa, incluidas las personas integrantes no ejecutivas.
4. Cualquier persona que trabaje para o bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores.
5. Informantes que comuniquen o revelen públicamente información sobre infracciones obtenida en el marco de una relación laboral o estatutaria ya finalizada, voluntarios/as, becarios/as, trabajadores/as en periodos de formación con independencia de que perciban o no una remuneración, así como a aquellas personas cuya relación laboral todavía no haya comenzado, en los casos en que la información sobre infracciones haya sido obtenida durante el proceso de selección o de negociación precontractual.

Es importante destacar que las comunicaciones realizadas a través del Sistema interno de información deben ser de buena fe, es decir, deben estar respaldadas por evidencia y hechos concretos.

IV. HECHOS DENUNCIABLES

En cuanto al objeto de la información, se desprende de la Ley 2/2023 que se puede utilizar el Sistema interno de información para informar de conductas indebidas graves o de presunta corrupción, que puedan ser constitutivas de infracciones penales o administrativas graves o muy graves relacionadas con las actividades de la entidad, que la persona informante haya observado o sobre las que haya recibido información en el curso de su trabajo o de su relación profesional:

1. La propia Ley 2/2023 y la Directiva (UE) 2019/1937 enumeran como tales, las informaciones que se refieren a Infracciones que entren dentro del ámbito de aplicación de los actos de la Unión Europea enumerados en el anexo de la citada Directiva relativas a los ámbitos siguientes:
   a) contratación pública,
   b) servicios, productos y mercados financieros, y prevención del blanqueo de capitales y la financiación
   del terrorismo,
   c) seguridad de los productos y conformidad,
   d) seguridad del transporte,
   e) protección del medio ambiente,
   f) protección frente a las radiaciones y seguridad nuclear,
   g) seguridad de los alimentos y los piensos, sanidad animal y bienestar de los animales,
   h) salud pública,
   i) protección de los/as consumidores/as,
   j) protección de la privacidad y de los datos personales, y seguridad de las redes y los sistemas de
   información.
2. Que afecten a los intereses financieros de la Unión Europea tal y como se contemplan en el artículo 325 del Tratado de Funcionamiento de la Unión Europea (TFUE).
3. Que incidan en el mercado interior, tal y como se contemplan en el artículo 26, apartado 2 del TFUE, incluidas las infracciones de las normas de la Unión Europea en materia de competencia y ayudas otorgadas por los Estados, así como las infracciones relativas al mercado interior en relación con los actos que infrinjan las normas del impuesto sobre sociedades o a prácticas cuya finalidad sea obtener una ventaja fiscal que desvirtúe el objeto o la finalidad de la legislación aplicable al impuesto sobre sociedades.
4. Acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave. En todo caso, se entenderán comprendidas todas aquellas infracciones penales o administrativas graves o muy graves que impliquen quebranto económico para la Hacienda Pública y para la Seguridad Social.
5. Infracciones del derecho laboral en materia de seguridad y salud en el trabajo de las que informen las personas trabajadoras, sin perjuicio de lo establecido en su normativa específica. Además, los informantes podrán informar a través del Sistema interno de información de conductas indebidas reales o potenciales o de infracciones del Código General de Conducta o políticas o procedimientos internos.

La persona informante deberá facilitar como mínimo, la referencia al ámbito subjetivo de la infracción (materia o normativa infringida: Derecho de la Unión Europea; infracción penal; o infracción administrativa); y una descripción de los hechos objeto de comunicación (información relevante sobre lo ocurrido), lo más detallada posible, adjuntando la documentación de la que pudiera disponer, en su caso.

De igual manera puede facilitar su nombre y apellidos, y un teléfono de contacto, si no optase por realizar esta comunicación de forma anónima. Si conociese la identidad de la persona responsable de la irregularidad comunicada, o hubiera puesto en conocimiento estos hechos a otro órgano o entidad a través de algún canal externo, también podrá facilitar estas informaciones.

V. PROCEDIMIENTO DE DENUNCIA

La empresa se compromete a investigar todas las comunicaciones de posibles infracciones o incumplimientos que se reciban a través del Sistema interno de información.

La empresa designará a una persona o equipo como responsable del sistema de información como persona encargada de la recepción, registro y gestión de las comunicaciones recibidas a través del Sistema interno de información.

La persona Responsable del Sistema desarrollará sus funciones de forma independiente y autónoma respecto del resto de los órganos de la entidad u organismo, no podrá recibir instrucciones de ningún tipo en su ejercicio, y dispondrá de todos los medios personales y materiales necesarios para llevarlas a cabo.

Se investigarán todas las comunicaciones de manera imparcial y confidencial y se tomarán medidas adecuadas en función de los resultados de la investigación destinadas a la protección del informante.

La empresa se compromete a informar a la persona denunciante sobre el estado de la investigación y de las medidas adoptadas, siempre que sea posible y sin comprometer la confidencialidad y protección de la persona denunciante pudiendo solicitar información adicional a los hechos comunicados a través del Sistema interno de información.

A solicitud del informante, también podrá presentarse mediante una reunión presencial dentro del plazo máximo de siete días para realizar una comunicación. Dicha reunión será grabada en los términos establecidos en la ley.

Sin perjuicio de los derechos que le corresponden de acuerdo con la normativa sobre protección de datos, se ofrecerá al informante la oportunidad de comprobar, rectificar y aceptar mediante su firma la transcripción de la conversación.

Además, la empresa se compromete a realizar un seguimiento de todas las comunicaciones recibidas y las medidas adoptadas para garantizar la efectividad de esta política y mejorar continuamente el proceso.

Las comunicaciones a través del sistema de información podrán ser anónimas.

Las comunicaciones recibidas serán aceptadas en el plazo máximo de 7 días y gestionadas durante el plazo máximo de 3 meses salvo casos de especial complejidad que requieran una ampliación del plazo, en cuyo caso, este podrá extenderse hasta un máximo de otros tres meses adicionales.

Se remitirá al Ministerio Fiscal con carácter inmediato cualquier información cuando los hechos pudieran ser indiciariamente constitutivos de delito. En el caso de que los hechos afecten a los intereses financieros de la Unión Europea, se remitirá a la Fiscalía Europea.

Además de este Sistema Interno de información, existen otros canales externos habilitados por las autoridades competentes, para comunicar igualmente las acciones u omisiones que puedan constituir infracciones, sobre los ámbitos anteriormente indicados. Entre dichos canales se encuentran:
Canales Estatales o Autonómicos:

Estatales:

• Autoridad Independiente de Protección al Informante*:
  * La Ley 2/2023 establece la creación específica de este canal externo de información, y el nombramiento de una Autoridad Independiente de Protección del Informante. Las personas anteriormente indicadas (“informantes”) podrán comunicar ante dicha Autoridad, o ante las autoridades u órganos autonómicos correspondientes, la comisión de cualesquiera acciones u omisiones recogidas en el apartado “comunicaciones”, bien directamente, o tras haber efectuado dicha comunicación a través de este Sistema interno de información. (INFORMACIÓN DE ACCESO A ESTE CANAL EXTERNO AÚN NO DISPONIBLE)
• Servicio Nacional de Coordinación Antifraude
• Fiscalía contra la Corrupción y la Criminalidad Organizada
• Policía Nacional
• Servicio Nacional de Coordinación Antifraude. IGAE.
• Trámite de denuncia nacional en materia de defensa de la competencia
• Trámite de denuncia ante la Inspección de Trabajo
• Trámite de denuncia nacional en materia tributaria Autonómicas
• Oficina Antifrau de Catalunya
• Oficina de Prevención y Lucha contra la Corrupción de la Islas Baleares
• Oficina Andaluza contra el Fraude y la Corrupción
• Oficina de Buenas Prácticas y Anticorrupción de Navarra
• Agencia Valenciana Antifraude
• Consejo Cuentas Castilla y León
• Consejo de transparencia Castilla La Mancha
• Autoridad Gallega de Protección de la Persona del Informante
• Consejo de Transparencia y Protección de Datos de la Comunidad de Madrid

Canales Europeos

• Oficina Europea de Lucha contra el Fraude (OLAF)
  Es posible dirigirse a la OLAF por medio de los siguientes canales:
  > Por carta a: Comisión Europea, Oficina Europea de Lucha contra el Fraude (OLAF), Investigaciones y Operaciones B-1049 Bruselas, Bélgica
  > Por correo electrónico a: OLAF-COURRIER@ec.europa.eu
  > Por medio de las líneas de teléfono gratuito: http://ec.europa.eu/anti-fraud
• Canal de denuncia ante la Fiscalía Europea por delitos que afecten a intereses financieros de la UE.

VI. PROTECCIÓN DE LAS PERSONAS INFORMANTES

La empresa se compromete a proteger a las personas que informen sobre infracciones o incumplimientos, de acuerdo con la Ley 2/2023.

Las personas que comuniquen o revelen infracciones tendrán derecho a protección frente a represalias siempre que concurran las circunstancias siguientes:

1. Tengan motivos razonables para pensar que la información referida es veraz en el momento de la comunicación o revelación, aun cuando no aporten pruebas concluyentes, y que la citada información entra dentro del ámbito de aplicación de la ley.
2. La comunicación o revelación se haya realizado conforme a los requerimientos previstos en la ley.

Se prohíben expresamente los actos constitutivos de represalia, incluidas las amenazas de represalia y las tentativas de represalia contra las personas que presenten una comunicación conforme a lo previsto en la ley.

Se entiende por represalia cualesquier acto u omisión que esté prohibido por la ley, o que, de forma directa o indirecta, supongan un trato desfavorable que sitúe a las personas que la sufre en desventaja particular con respecto a otra en el contexto laboral o profesional, solo por su condición de informantes, o por haber realizado una revelación pública.

A título enunciativo, se consideran represalias las que se adopten en forma de:

1. Suspensión del contrato de trabajo, despido o extinción de la relación laboral o estatutaria, incluyendo la no renovación o la terminación anticipada de un contrato de trabajo temporal una vez superado el período de prueba, o terminación anticipada o anulación de contratos de bienes o servicios, imposición de cualquier medida disciplinaria, degradación o denegación de ascensos y cualquier otra modificación sustancial de las condiciones de trabajo y la no conversión de un contrato de trabajo temporal en uno indefinido, en caso de que la persona trabajador tuviera expectativas legítimas de que se le ofrecería un trabajo indefinido; salvo que estas medidas se llevaran a cabo dentro del ejercicio regular del poder de dirección al amparo de la legislación laboral o reguladora del estatuto del empleado público correspondiente, por circunstancias, hechos o infracciones acreditadas, y ajenas a la presentación de la comunicación.
2. Daños, incluidos los de carácter reputacional, o pérdidas económicas, coacciones, intimidaciones, acoso u ostracismo.
3. Evaluación o referencias negativas respecto al desempeño laboral o profesional.
4. Inclusión en listas negras o difusión de información en un determinado ámbito sectorial, que dificulten o impidan el acceso al empleo o la contratación de obras o servicios.
5. Denegación o anulación de una licencia o permiso.
6. Denegación de formación.
7. Discriminación, o trato desfavorable o injusto.

La persona que viera lesionados sus derechos por causa de su comunicación o revelación una vez transcurrido el plazo de dos años podrá solicitar la protección de la autoridad competente que, excepcionalmente y de forma justificada, podrá extender el período de protección, previa audiencia de las personas u órganos que pudieran verse afectados. La denegación de la extensión del período de protección deberá estar motivada.

Los actos administrativos que tengan por objeto impedir o dificultar la presentación de comunicaciones y revelaciones, así como los que constituyan represalia o causen discriminación tras la presentación de aquellas al amparo de esta ley, serán nulos de pleno derecho y darán lugar, en su caso, a medidas correctoras disciplinarias o de responsabilidad, pudiendo incluir la correspondiente indemnización de daños y perjuicios al perjudicado.

Durante la tramitación del expediente las personas afectadas por la comunicación tendrán derecho a la presunción de inocencia, al derecho de defensa y al derecho de acceso al expediente en los términos regulados en esta ley, así como a la misma protección establecida para las personas informantes, preservándose su identidad y garantizándose la confidencialidad de los hechos y datos del procedimiento.

La Autoridad Independiente de Protección del Informante, A.A.I. podrá, en el marco de los procedimientos sancionadores que instruya, adoptar medidas provisionales en los términos establecidos en el artículo 56 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Quedan expresamente excluidos de la protección prevista en la ley aquellas personas que comuniquen o
revelen:

1. Informaciones contenidas en comunicaciones que hayan sido inadmitidas por algún Sistema interno de información o por alguna de las causas previstas en la ley.
2. Informaciones vinculadas a reclamaciones sobre conflictos interpersonales o que afecten únicamente a las personas informantes y a las personas a las que se refiera la comunicación o revelación.
3. Informaciones que ya estén completamente disponibles para el público o que constituyan meros rumores.
4. Informaciones que se refieran a acciones u omisiones no comprendidas en el ámbito de la ley.

VII. CONFIDENCIALIDAD Y PROTECCIÓN DE DATOS

Los datos personales objeto de tratamiento, los documentos aportados y cualesquiera otra información facilitada en la comunicación que contenga información personal, serán tratados de manera confidencial por los responsables del Sistema interno de información con la finalidad de cumplir con la obligación de investigar y gestionar la denuncia presentada así como para dar cumplimiento a las obligaciones legales establecidas en la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

No se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una información específica o, si se recopilan por accidente, se eliminarán sin dilación indebida.
El tratamiento de datos personales será realizado velando por el cumplimiento de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción , del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y de la la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

El acceso a los datos personales contenidos en el sistema de información interno quedará limitado a:

1. La persona Responsable del Sistema y a quien lo gestione directamente.
2. La persona responsable de Recursos humanos o el órgano competente debidamente designado, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un/a trabajador/a.
3. La persona responsable de los servicios jurídicos de la entidad u organismo, si procediera la adopción de medidas legales en relación con los hechos relatados en la comunicación.
4. Las personas encargadas del tratamiento que eventualmente se designen.
5. El/la delegado/a de protección de datos.

Los datos podrán ser puestos en conocimiento del Departamento Legal, Abogados/as, Órganos Judiciales y Fuerzas y Cuerpos de Seguridad del Estado en caso de que alguna de las informaciones recibidas fuera susceptibles de ser consideradas delito o infracción legal de algún tipo.

Base legal del tratamiento: El tratamiento de datos personales, en los supuestos de comunicación internos, se entenderá lícito en virtud de lo que disponen los artículos 6.1.c) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, 8 de la Ley Orgánica 3/2018, de 5 de diciembre, y 11 de la Ley Orgánica 7/2021, de 26 de mayo, cuando, de acuerdo con lo establecido en los artículos 10 y 13 de la ley, sea obligatorio disponer de un sistema interno de información. Si no fuese obligatorio, el tratamiento se presumirá amparado en el artículo 6.1.e) del citado reglamento. El tratamiento de datos personales en los supuestos de canales de comunicación externos se entenderá lícito en virtud de lo que disponen los artículos 6.1.c) del Reglamento (UE) 2016/679, 8 de la Ley Orgánica 3/2018, de 5 de diciembre, y 11 de la Ley Orgánica 7/2021, de 26 de mayo.

Derechos de los/las interesados/as: acceso, rectificación, supresión, limitación, portabilidad y oposición, de manera gratuita mediante correo electrónico a: dpd@ictsspain.com en los casos legalmente previstos. Conservación: Los datos se conservarán por el plazo legal establecido para la tramitación del expediente (3 meses) y por el tiempo necesario para el ejercicio de acciones legales o si fuese necesario dejar evidencia de la gestión del canal. El/la interesado/a tiene derecho a su vez a presentar una reclamación a la AEPD en www.aepd.es para solicitar la tutela de sus derechos.

VIII. COMUNICACIÓN Y SENSIBILIZACIÓN

La empresa llevará a cabo capacitaciones periódicas y campañas de sensibilización para fomentar una cultura de integridad y transparencia, y para informar a las personas trabajadoras y otras partes interesadas sobre el Sistema interno de información.

La empresa también proporcionará información sobre los derechos y protecciones que se ofrecen a las personas informantes en virtud de la Ley 2/2023.

La empresa se compromete a difundir esta política a todas las personas trabajadoras y partes interesadas, y a actualizarla regularmente para garantizar su conformidad con las leyes y regulaciones aplicables.

En San Sebastián de los Reyes, a 1 de enero de 2026.

Panagiotis Fistedis