NORMATIVA DE APLICACIÓN: Directiva de la Unión Europea 2019/1937, sobre protección del denunciante; Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales.
INTRODUCCIÓN
El canal de denuncias o “whistleblowing channel” se podría definir como un medio que pretende facilitar la comunicación entre la dirección de la empresa y aquellas personas vinculadas que desean informar sobre alguna actuación producida en el seno de la misma y que pueda constituir un delito o una conducta contraria a los principios de la compañía o a sus normativas internas (códigos éticos, políticas de cumplimiento, protocolos, etc.). Este canal se torna como un mecanismo necesario y cada vez más importante a fin de reducir los riesgos a los que está sometido una entidad y que aporta, a su vez, confianza, permitiendo la detección de malas praxis o incumplimientos de forma temprana para reducir o mitigar consecuencias negativas para las organizaciones.
NORMATIVA
El pasado 26 de noviembre de 2019 se publicó en el Diario Oficial de la Unión Europea la Directiva UE 2019/1937, sobre protección del denunciante, o más comúnmente conocida como la directiva que desarrolla los canales de denuncias, cuyo objeto es:
- Regular la protección de quienes denuncien infracciones relativas al Derecho de la Unión Europea;
- El establecimiento de determinadas obligaciones en cuanto a la creación de canales de denuncia en el seno de las organizaciones.
La trasposición definitiva en España de la referida Directiva se producirá automáticamente, el 17 de diciembre de 2021, si no se ha realizado antes mediante la aprobación de la una ley interna. Esta Directiva desarrolla el sistema mediante el cual las compañías privadas y del sector público deben impulsar herramientas y sistemas de control efectivos ante las denuncias internas.
SUJETOS OBLIGADOS
Esta nueva normativa, que obliga a implantar el canal de denuncias interno, obliga a:
- Entidades privadas de más de 50 empleados;
- Organizaciones que operan en el sector financiero o que se encuentran sujetas a la normativa en materia de prevención de blanqueo de capitales;
- Todas las entidades pertenecientes al sector público.
CARACTERÍSTICAS QUE DEBEN DE CUMPLIR LOS CANALES DE DENUNCIAS
A fin de cumplir con la normativa reseñada, así como para facilitar su propia utilización, el canal implementado deberá de contar con una serie de características:
- Seguridad: La entidad ha de asegurarse de que el canal cumpla con las certificaciones en la materia y comprobar las posibles vulnerabilidades de forma regular.
- Facilidad: Ha de ser un mecanismo fácil y rápido de usar, de tal manera se incentivará mucho más su utilización por parte de los interesados.
- Confianza: El hecho de que se salvaguarde la identidad del “whistleblower” o denunciante ante posibles represalias implica la confianza de los interesados. Así lo señala la Circular de la Fiscalía 1/2016, que prohíbe expresamente cualquier tipo de represalia contra los “whistleblowers” por parte de la entidad, creando así una mayor seguridad jurídica en este ámbito. Además, se debe garantizar que los denunciantes tengan acceso a información y asesoramiento completo, de forma independiente y gratuita sobre los procedimientos y recursos disponibles, así como a asistencia jurídica durante los procedimientos.
- Legalidad: Ha de adecuarse a las exigencias normativas tanto de la Directiva 2019/1937 como de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
CANAL DE DENUNCIAS Y PROTECCIÓN DE DATOS
El artículo 24 LOPDGDD regula los sistemas de información de denuncias internas: “1. Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información.
2. El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. No obstante, será lícito su acceso por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan. Sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos
3. Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.
4. Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados. En todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de esta ley orgánica. Transcurrido el plazo mencionado en el párrafo anterior, los datos podrán seguir siendo tratados, por el órgano al que corresponda, conforme al apartado 2 de este artículo, la investigación de los hechos denunciados, no conservándose en el propio sistema de información de denuncias internas. (…)”.
El hecho de gestionar e investigar las denuncias recibidas a través del canal de denuncias implica el tratamiento de datos de carácter personal, ya sean éstos únicamente identificativos o, incluso, datos considerados especialmente sensibles como los casos de sospecha sobre la comisión de un delito o infracción penal. Por ello es sumamente importante que se respeten los principios de la normativa en materia de protección de datos, teniendo en cuenta una serie de particularidades;
- Dictamen 1/2006 del Grupo de Trabajo del Artículo 29: el órgano sostiene que la aplicación de la normativa en materia de protección de datos en este ámbito es de utilidad para la protección del denunciado, a mayor abundamiento el WG29 se postula hacia canales de denuncia abiertos, es decir, de manera identificada, fundamentándolo hasta en seis razones diferentes, pero a pesar de su preferencia, no rechaza de forma categórica la posibilidad de que se puedan dar denuncias de forma anónima.
- Informe 128/2007 de la Agencia Española de Protección de Datos (AEPD), en el cual se fijan los requisitos para la implantación de un canal de denuncias, los cuales, a pesar de determinarse en base a la ya derogada LOPD 15/1999, pueden extrapolarse a la normativa en vigor actualmente, LOPDGDD y RGPD, siendo los siguientes:
- Se aconsejaba evitar la existencia de denuncias anónimas, garantizándose así la exactitud e integridad de la información contenida en dichos sistemas. Si bien este informe ha quedado superado por el Art. 24.1 LOPDGDD, que si permite la denuncia anónima.
- Todo tratamiento de datos que se realice a través del canal de denuncias ha de contar con una base legitimadora, siendo en este caso una relación contractual (Art. 6.1.b RGPD). Este extremo deja abierto el hecho de que la relación contractual sea diversa, por lo cual el uso del canal de denuncias no se limita solamente a los empleados de la entidad, sino que también puede ser utilizado por clientes o proveedores, colaboradores, etc.
- La entidad debe de establecer un plazo máximo para la conservación de los datos de carácter personal relacionados con las denuncias, siendo esto un reflejo del principio de limitación del plazo de conservación (Art. 5.1.e. RGPD), el cual tiene por objetivo principal cesar en el tratamiento de los datos de carácter personal cuando dejen de ser necesarios para la finalidad perseguida. En el caso concreto de los canales de denuncia la AEPD indica que esta conservación deberá limitarse a la tramitación de las investigaciones internas y, como máximo, a la tramitación de los procedimientos judiciales que, en su caso, puedan derivarse de la denuncia.
- Todas las personas de las que se traten datos de carácter personal a través del canal de denuncias han de ser debidamente informadas de los extremos necesarios en materia de protección de datos (Arts. 13 y 14 RGPD) (Art. 11 LOPDGDD), de esta manera la entidad estará cumpliendo con su deber de información.
- Las medidas de seguridad implementadas para el tratamiento de los datos de carácter personal recabados a través del canal de denuncias han de ser reforzadas, tal y como indica la AEPD, dado que no es posible conocer a priori que tipos de datos se van a registrar, siendo muy posible el tratamiento de datos especialmente protegidos.
Normativa de aplicación:
Para acceder a la Directiva de la Unión Europea 2019/1937, sobre protección del denunciante pinche aquí.
Para acceder a la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales pinche aquí.