Es necesario que todo el proceso cumpla con los requisitos que establece la normativa sobre Protección de Datos

Cómo cumplir la normativa de protección de datos al crear el canal de denuncia

Tribuna
Proteccion de datos y whistleblower_imagen

Un canal de denuncias, como hemos publicado en artículos anteriores, es aquella herramienta que la empresa pone a disposición de los trabajadores, proveedores, o clientes, que permite alertar de manera confidencial sobre cualquier ilegalidad que se haya producido en la organización.

Para que un canal de denuncias reúna todas las garantías que aseguren su eficacia, es necesario que todo el proceso cumpla con los requisitos que establece la normativa sobre Protección de Datos. En el artículo 24 de la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), se detalla la regulación de este sistema de denuncias interno.

Canal de denuncias en la Ley Orgánica de Protección de Datos (LOPDGDD)

Establece la LOPDGDD que es lícito crear y mantener un sistema de información a través del cual pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de esta o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa.

En todo caso, los empleados y terceros deben ser informados acerca de la existencia de este canal de denuncias.

El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que se designen a tal efecto. También podrán acceder otras personas (por ejemplo, los abogados de la empresa), cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales.

Si hubiera que adoptar medidas disciplinarias contra un trabajador dentro de la propia empresa, se permitirá el acceso al departamento de recursos humanos o al personal con funciones de gestión.

Es imprescindible que la empresa adopte las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.

Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.

Una vez transcurridos tres meses desde la introducción de los datos de la denuncia, deberá procederse a su supresión del sistema. Con la excepción que permite conservarlos para dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. De este modo, la empresa puede eludir una responsabilidad penal que recaería sobre ella. Transcurrido este plazo, los datos podrán seguir siendo tratados por el órgano al que corresponda la investigación de los hechos denunciados, pero no podrán conservarse en el propio sistema de información de denuncias.

Aquellas denuncias a las que no se haya dado curso, solamente podrán constar de forma anonimizada. Si tienes dudas sobre la mejor manera de anonimizar la información recibida, la Agencia Española de Protección de datos (AEPD) ofrece esta guía con todo el proceso.

 

La Agencia Española de Protección de Datos y los canales de denuncia

En el año 2007 la Agencia Española de Protección de Datos (AEPD) emitió un informe (128/2007) relativo a la creación de sistemas de denuncias internas en las empresas presentadas a través de los sistemas de “whistleblowing”, en la que aconsejaba evitar la existencia de denuncias anónimas, garantizándose así la exactitud e integridad de la información contenida en dichos sistemas.

Pero, como hemos visto, este informe ha quedado superado por el artículo 24.1 de la LOPDGDD, que sí permite la denuncia anónima.  A pesar de ello, es recomendable que el denunciante se identifique para proteger de manera real sus datos personales. De hecho, son las empresas las que deberían invitar a los denunciantes para que no utilicen el anonimato, y evitar de esta manera el abuso del canal y que la herramienta quede desvirtuada. Así lo aconseja el Supervisor Europeo de Protección de Datos (SEPD) que aboga por evitar el anonimato para obtener una efectiva protección del denunciante, y poder recabar más información sobre los hechos denunciados.

Forma de comunicar la existencia del canal de denuncias

El Grupo de Trabajo Europeo independiente (GT29), que se ha ocupado de cuestiones relacionadas con la protección de la privacidad y los datos personales, considera, junto al SEPD y la AEPD, que los titulares de los datos personales deben ser informados tanto de la existencia del canal de denuncias, como del tratamiento de sus datos personales en relación con cualquier denuncia en la que se vean involucrados.

Más concretamente el SEPD establece que la información ha de ser facilitada en dos fases:

  • En una primera fase, se deberá informar sobre la implementación del canal de denuncias.
  • En una segunda fase, en el momento en que se reciba una denuncia, se deberá informar de ello a cada uno de los afectados: denunciante, denunciado, testigos, terceros afectados, etc.

¿En qué momento se debe informar a los titulares de los datos?

Como hemos visto inicialmente el art.24.1 no entra en detalles sobre el momento en el que se debe informar a los titulares de los datos, pero si lo hace el art.13.1 del Reglamento General de Protección de Datos (RGPD) que considera que cuando se obtengan de un interesado datos personales relativos a él,  en el mismo momento en que estos se obtengan, el responsable deberá informarle sobre los fines del tratamiento, y a qué se destinan estos datos personales.

Pero ¿qué sucede cuando los datos los ha facilitado un tercero que ha puesto la denuncia? ¿En qué momento se debe comunicar al afectado?

En el caso de que los datos se hayan obtenido de terceros, el RGPD en su art.14.3 a) establece lo siguiente: dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos.

Este plazo podrá alargarse hasta los tres meses, en aquellos casos en los que se deba realizar una investigación prolongada, por lo que este debería ser el plazo máximo de comunicación al interesado.

¿CUÁNDO DEBO TENER CREADO EL CANAL DE DENUNCIA?

Los empresarios españoles están obligados a incorporar la Directiva (UE) 2019/1937 a su legislación nacional con anterioridad a diciembre de 2021.

Por eso, las entidades públicas y privadas deberán comenzar a cumplir estos requisitos antes del 17 de diciembre de 2021, excepto las entidades del sector privado que tengan de 50 a 249 trabajadores que tienen de plazo hasta el 17 de diciembre de 2023.

Puedes ver esta información más claramente en la siguiente infografía.

Si tu empresa está obligada a contar con un canal de denuncias, desde Lefebvre te ofrecemos una herramienta eficiente que cumple con toda la normativa en materia de prevención de delitos, y que garantiza la protección de datos en todo caso.

Más información en Centinela Canal de Denuncias.

 

 


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación