El 7 de diciembre de 2018, entró en vigor la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), que deroga y sustituye la anterior LOPD.

En esta ley se regula por primera vez en nuestro país la posibilidad de realizar denuncias anónimas en empresas.

Aquí te cuento en qué consiste este sistema de denuncias internas anónimas.

Sistema de denuncias internas o “whistleblowing”

La LOPDGDD desarrolla normativamente y complementa el RGPD, que tiene eficacia directa en los países de la UE.

Una de las novedades más llamativas de la nueva LOPD es que por primera vez se regulan de forma específica los tratamientos de datos efectuados en el marco de los sistemas de denuncias internas o mecanismos de “whistleblowing”.

Son aquellos canales de denuncia interna de las empresas por comportamientos, acciones o hechos que pueden constituir violaciones de:

  • normas internas de la compañía,
  • leyes,
  • normativas o
  • códigos éticos que rigen su actividad.

La gran importancia de estos canales de denuncias internas reside en el hecho de que pueden constituir un eximente de la responsabilidad penal de las personas jurídicas según lo establecido en el Código Penal. Siempre que se hayan adoptado en el marco de modelos de organización y gestión que incluyan medidas de vigilancia y control con el objetivo de prevenir el riesgo o evitar la comisión de hechos delictivos.

A partir de la modificación del Código Penal realizada en 2015, muchas grandes empresas en España han implementado modelos de prevención o programas de cumplimiento normativo como posible causa de exención o limitación de la responsabilidad penal de las personas jurídicas.

Dichos programas de cumplimiento incluyen canales de denuncias internas para informar de posibles riesgos o irregularidades dentro de la empresa.

Estos mecanismos permiten que todos los empleados y/o directivos de la empresa puedan ser denunciantes y denunciados.

Situación anterior

Antes de la entrada en vigor de la nueva LOPD, no se permitía la presentación de denuncias anónimas a través de los sistemas de denuncias internas.

Esta posición estaba basada en el informe jurídico AEPD sobre la creación de sistemas de denuncias internas en empresas.

Solo admitía la licitud de las denuncias internas en las que apareciera identificado el denunciante, pero no las denuncias anónimas.

Este panorama ha cambiado radicalmente con la entrada en vigor de la LOPDGDD que por primera vez regula específicamente los sistemas de información de denuncias internas.

Tendrá que informarse a los empleados y terceros sobre de la existencia de estos sistemas de información.

¿Cómo regula la LOPDGDD los sistemas de denuncias internas?

Los sistemas de denuncias internas en las organizaciones dan lugar a uno de los tratamientos que se incluyen en el Título IV de la LOPDGDD, relativo a las disposiciones aplicables a tratamientos concretos.

Tal como se indica en el artículo 24 de esta ley, la creación y mantenimiento de estos sistemas es lícita con la finalidad de que pueda comunicarse a una entidad de Derecho privado, incluso anónimamente, la comisión de actos o conductas que pudieran ser contrarios a la normativa general o sectorial aplicable. Tanto en el seno de la misma como por la actuación de terceros que contratasen con ella.

En el caso de las Administraciones Públicas, indica que los principios previstos para las entidades de Derecho privado serán aplicables a los sistemas de denuncias internas que pudieran crearse en las administraciones públicas.

Nada dice el RGPD sobre estos sistemas de denuncias internas, debiendo entender, no obstante, que las condiciones de legitimación y licitud del tratamiento son la previstas tanto en éste como en la LOPDGDD. Y, en su caso, en la demás normativa que sea aplicable.

Dictamen del GT29

El Grupo de Trabajo del artículo 29 (GT29), que se incorporó al Comité Europeo de Protección de Datos, creado por el RGPD, publicó el dictamen 1/2006 relativo a la aplicación de las normas sobre protección de datos de la UE a los sistemas internos de denuncia de irregularidades en los ámbitos de:

  • contabilidad,
  • controles de auditoría internos,
  • cuestiones de auditoría,
  • lucha contra la corrupción y
  • delitos financieros y bancarios.

Como apunta el mencionado dictamen, el origen de estos sistemas internos de denuncia se encuentra en la ley Sarbanes-Oxley. Ley adoptada en 2002 por el Congreso de los EE.UU.

En concreto, el GT29 analizaba:

  • la compatibilidad de estos sistemas de denuncia de irregularidades con las normas europeas sobre protección de datos,
  • su legitimidad,
  • la aplicación de los principios de calidad y proporcionalidad de datos,
  • la información a proporcionar a los interesados,
  • los derechos que tiene la persona incriminada,
  • la seguridad del tratamiento de los datos,
  • la gestión de estos sistemas y
  • las transferencias internacionales de datos.

Paso de denuncias identificadas a denuncias anónimas

La posibilidad de que puedan recibirse denuncias anónimas en los sistemas de denuncias internas es una novedad con la LOPDGDD.

El criterio previo de la AEPD era que tal circunstancia no resultaba posible. En concreto, en el informe jurídico sobre la creación de denuncias internas en las empresas daba respuesta a una consulta sobre estos sistemas.

Basándose en el dictamen del GT29 ya citado, la AEPD consideraba en su informe que debería partirse del establecimiento de procedimientos que garanticen el tratamiento confidencial de las denuncias presentadas a través de los sistemas de “whistleblowing”. De forma que se evite la existencia de denuncias anónimas.

Las denuncias anónimas plantean un problema específico respecto al requisito básico de que los datos personales deben recogerse limpiamente. Para satisfacer este requisito, sólo las denuncias identificadas deben comunicarse a través del sistema de denuncia de irregularidades.

Realidad de las empresas

Algunos denunciantes pueden no siempre estar en una posición o tener la disposición psicológica para presentar denuncias identificadas. Y las denuncias anónimas son una realidad en las empresas. Incluso en ausencia de sistemas de denuncia de irregularidades confidenciales organizados. Y esta realidad no puede obviarse.

El Grupo de Trabajo considera que la existencia de sistemas de denuncia de irregularidades puede dar lugar a que se presenten denuncias anónimas a través del mismo y se tengan en cuenta. Pero sujetas a determinadas condiciones.

Estas condiciones se refieren, específicamente, a si deben investigarse y tramitarse con mayor velocidad que las denuncias confidenciales. Así como a la necesidad de un examen exhaustivo de las denuncias anónimas con la finalidad de evitar el riesgo de mal uso.

Así, la LOPDGDD incluye también la posibilidad de presentar denuncias anónimas, dada la realidad en el día a día de las organizaciones. Pero siempre teniendo en cuenta el criterio mantenido tanto por el GT29 como por la AEPD.

¿Cuándo se considera legítimo el tratamiento de los datos?

La legitimación del tratamiento de los datos personales en un sistema de información de denuncias internas estaría basada en el interés público, conforme al RGPD.

Al respecto, en relación con esta condición de legitimación del tratamiento, cubre dos situaciones. Y es pertinente tanto para el sector público como para el sector privado.

Potestad pública

En el primer caso, comprende situaciones en las que el mismo responsable del tratamiento tiene una potestad pública o una misión de interés público. Y el tratamiento es necesario para el ejercicio de dicha potestad o para la ejecución de dicha misión.

Solicitud de tercero

Y el segundo caso comprende situaciones en las que el responsable del tratamiento no tiene una potestad oficial. Pero una tercera parte con dicha potestad le solicita que revele los datos.

Por ejemplo, un funcionario de un organismo público competente para investigar delitos puede pedir al responsable del tratamiento que coopere en una investigación en curso. En vez de ordenar al responsable del tratamiento que cumpla una solicitud específica de cooperación.

También cubre situaciones en que el responsable del tratamiento comunica de forma proactiva los datos a un tercero con dicha potestad.

Este puede ser el caso, por ejemplo, de que el responsable del tratamiento advierta que se ha cometido un delito penal. Y facilite esta información a las autoridades competentes con funciones coercitivas por iniciativa propia.

Obligación legal

En el sector privado habría que considerar también que el tratamiento de los datos personales sea necesario para cumplir con una obligación legal. Ya sea en virtud del Derecho de la Unión Europea o nacional.

O que sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero. Siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales.

¿Quién puede acceder a los datos tratados en el sistema de denuncias?

La LOPDGDD indica que únicamente pueden acceder a los datos personales tratados en el sistema las personas autorizadas para ello, sean internas o no. Siempre que sus funciones sean las de control interno y de cumplimiento. La finalidad es garantizar la confidencialidad de los datos personales tratados en el sistema de información de denuncias internas.

Además, podrán acceder también los encargados del tratamiento que eventualmente se designe a tal efecto. Entendiendo que es necesario para la gestión del sistema de denuncias interna.

Y la LOPDGDD prevé también que será lícito el acceso por otras personas o la comunicación a otros destinatarios, por ser necesario para adoptar medidas disciplinarias o la tramitación de procedimientos judiciales.

Solo cuando pudiera proceder la adopción de medidas disciplinarias en el ámbito laboral, podrá permitirse el acceso a los datos personales a quienes desempeñan funciones de gestión y control de recursos humanos.

Es decir, se trata de limitar el acceso al sistema de información de denuncias internas a quienes están autorizados para ello en virtud de sus funciones. Y esto sin perjuicio de que se comuniquen a la autoridad competente los hechos constitutivos de un ilícito penal o administrativo.

Además se indica que, para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, el responsable del tratamiento tendrá que adoptar las medidas necesarias. Prestando especial atención a la persona denunciante, en caso de que la denuncia no fuera anónima.

¿Cuál es el plazo de conservación de los datos personales en el sistema?

La LOPDGDD indica específicamente que los datos personales de quien formule la denuncia interna, así como de los empleados y terceros solo se podrán conservar en el sistema de información de denuncias internas durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.

Esta ley indica cuál es el criterio a seguir por el responsable del tratamiento para determinar hasta cuándo podrán tratarse los datos personales de quien denuncia. Y de las personas a las que se refiere o a las que involucra o afecta la denuncia, es decir, los terceros.

Específica que transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias. Con la excepción de que la finalidad de conservar los datos personales sea la de dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica.

Además, en caso de no dar curso a una denuncia, el responsable del tratamiento tendrá que anonimizar los datos personales cuando transcurra el plazo, específico o genérico, indicado. Aunque no es aplicable la obligación de bloqueo.

Y esto es todo lo que debes saber sobre el sistema de denuncias anónimas en la empresa.

Si tienes alguna duda estaré encantada de ayudarte.

LOPDGDD y sistema de denuncias anónimas en las empresas
4.6 (91.43%) 7 votos

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.