"Es fundamental que los procedimientos que se articulen en las organizaciones atiendan a la realidad de lo que va a suponer la gestión de una denuncia"
Entrevistamos a Santiago Cruz Roldán y Jordi Morera Torres, de GOVERTIS Advisory Services, con motivo de la celebración del I Insight del 2023 por parte de el club DPD de la AEC
La Ley obliga a proteger a la persona que informe sobre determinados hechos que pueden comprometer a la organización. Por ello cobra vital importancia, para garantizar la confidencialidad, que se establezcan, sobre el Sistema Interno de Información, los requerimientos que permitan garantizar la tutela de los datos de carácter personal, y con ello salvaguardar los derechos y libertades de los informantes y personas implicadas en una información remitida al canal. En definitiva, la implementación de un Sistema de denuncias, como ha advertido la Agencia Española de Protección de Datos, supone un riesgo que hay que gestionar para los datos de las personas cuyos datos se traten.
Si partimos de lo dicho anteriormente y que hay un riesgo para los datos de las personas informantes, es fundamental contar con un asesoramiento especializado en protección de datos para implantar las obligaciones que prevé esta Ley, y el DPD es el garante de los datos personales en una organización, cuando se le nombra. Por ello, en los trabajos parlamentarios de esta Ley, se contemplaba que aquellas entidades obligadas a tener un Sistema Interno de Información tuviesen que nombrar un Delegado de Protección de Datos. No obstante, y a pesar de que el texto finalmente aprobado por las Cortes Generales ha eliminado el artículo que obligaba expresamente a ello, se puede deducir claramente del artículo 32 de la Ley 2/2023, que el DPD sigue siendo un rol clave, ya que está expresamente autorizado para el acceso al sistema interno de información, por lo que es indudable que el legislador otorga al DPD un papel esencial a efectos de supervisar cómo se tratan los datos dentro del Sistema Interno de Información, y bajo nuestro punto de vista, también debe asegurarse de que las personas que acceden al Sistema y que van a realizar investigaciones, reciben una adecuada formación en materia de protección de datos y confidencialidad.
Es recomendable que el procedimiento que elabore cada entidad para gestionar las denuncias que reciba haga referencia de forma explícita a la necesidad de exclusivamente tratar aquellos datos que sean necesarios para la finalidad pretendida. En estos procedimientos, se deberán establecer medidas para eliminar cualquier dato no pertinente. De hecho, incluso la Ley hace referencia a que no se deberán recopilar datos no pertinentes, y si estos se tratasen por accidente, deben eliminarse sin dilaciones. En cualquier caso, no deben ser tratados los datos de carácter personal que no sean necesarios para la investigación, debiéndose suprimir estos. En este sentido se plantea un importante reto, puesto que la necesidad de eliminar aquellos datos excesivos para la finalidad de la investigación requiere evidentemente otorgar capacidad a las partes gestoras de los casos para modificar los datos introducidos por el informante, lo cual puede plantear dudas razonables sobre la veracidad de las declaraciones consignadas en el transcurso de la investigaciones o incluso de las pruebas aportadas.
Entre otras medidas, deben articularse medidas de limitación de acceso. La propia Ley hace referencia a los perfiles que podrían tener acceso a los Sistemas. Deberá limitarse el acceso a estas personas para las funciones que exclusivamente se prevea. Una correcta definición de los accesos, es el primer paso. La gestión de permisos debería poder evitar que un potencial denunciado pueda acceder al contenido de la denuncia, y por supuesto, excluirlo de las labores de investigación y gestión de la información. Además, debe establecerse un sistema de registro de accesos al sistema. También, deben diseñarse medidas tendentes a conservar la información exclusivamente por el tiempo necesario para realizar la investigación, con automatización del borrado y bloqueo de la información, a ser posible. Además, el sistema deberá exclusivamente permitir la conservación de información que guarde relación con la información transmitida y evitándose en la medida de lo posible, el tratamiento de datos no pertinentes. Por último, los usuarios autorizados deberían firmar con un compromiso reforzado de confidencialidad, con especiales medidas disuasorias para el caso de que se pueda exfiltrar información vulnerándose el deber de secreto.
La Ley 2/2023, en efecto, contempla esta figura del Responsable del Sistema interno de información que debe ser nombrado por el órgano de administración u órgano de gobierno. En el ámbito del sector privado, la Ley reserva esta función a un directivo de la entidad, salvo que la naturaleza o dimensión no lo justifiquen. Además, la norma dispone expresamente que esta función puede ser realizada por la persona que desempeñe las funciones de Compliance Ofiicer, si ésta “ya existiese”. Concretamente, la Ley hace referencia a: “la persona responsable de la función de cumplimiento normativo o de políticas de integridad, cualquiera que fuese su denominación”.
Por lo que respecta a la posibilidad de que sea compatible con el cargo de DPD y aunque se trata de una materia diferente, el Gabinete Jurídico de la Agencia Española de Protección de Datos, evacuó una consulta en la que analizaba la compatibilidad entre la figura del Responsable de Seguridad de la Información del Esquema Nacional de Seguridad y el DPD. La AEPD consideró que, con carácter general, debería existir una separación entre estas funciones. No obstante, incorporó como excepción que en aquellas entidades que, por tamaño o recursos, no pudieran separar dicha función, podría ser admisible la designación en la misma persona, debiendo incorporar medidas para garantizar la independencia y ausencia de conflicto de interés. Por tanto sería posible considerar (salvo que haya un pronunciamiento de la AEPD que en este caso establezca lo contrario) que también cabría aplicar este criterio aquí.
Ese podría ser un argumento a favor de la compatibilidad quizá en ese segmento de organizaciones y con las debidas medidas para garantizar la independencia y ausencia de conflicto de interés. Conflicto de interés que se puede producir en algún supuesto si consideramos que por el tipo de informaciones que puedan sustanciarse por el sistema la protección de datos es una de las materias respecto de la que se pueden suscitar irregularidades. Por tanto ¿Qué ocurriría si se pone de manifiesto por el informante que hay infracciones en la entidad en materia de protección de datos y el responsable fuera el DPD?
En definitiva, creemos que en principio las funciones no son compatibles y deberían de separarse estos dos roles en personas u órganos diferenciados (al igual que sucede con el ejemplo del CISO y el DPD), aunque al igual que en dicho supuesto en determinados casos y con los debidos controles quizá podría ser admisible.
Sin duda alguna. Empezando por el principio de transparencia que debe regir el Sistema Interno de Información y por supuesto, cualquier tratamiento de datos. No nos podemos olvidar de que tanto los denunciantes o informantes, como los potenciales denunciados deben ser informados sobre la existencia de los sistemas internos de información y del tratamiento de datos que implica la formulación de una denuncia. La Ley dedica varios preceptos a garantizar la información a suministrar, que, en todo caso, debe ser complementado con lo dispuesto en la normativa de protección de datos. Además del principio de transparencia, conforme al principio de responsabilidad proactiva y el principio de protección de datos desde el diseño, el funcionamiento debe estar dibujado de forma que se garanticen los derechos y libertades de los interesados, especialmente, las garantías de confidencialidad que hemos ido indicando anteriormente.
La única posibilidad es acudir a la tecnología siendo un importante reto de los equipos de desarrollo. En términos de tendencias, lo habitual suele ser la utilización de códigos generados por cada caso únicos, con o sin contraseña adicional, a efectos de que el informante pueda acceder al estado de su caso, si bien cabe destacar que hay una importante parte del anonimato que no depende de la solución, sino de la actitud del informante y el cuidado propio de sus acciones, por lo que es esencial la sensibilización a los usuarios, por ejemplo, sobre como eliminar los metadatos de los archivos o evidencias que nos puedan aportar.
Muchas de las herramientas actuales permiten mantener el contacto con el informante. En las soluciones existentes en el mercado, también en la que ofrecemos desde Govertis – Telefónica Tech, Sandas GRC – Canal de Alertadores, se requiere que el informante, cuando es anónimo, acceda a la herramienta, para que el investigador pueda comunicarse con éste. Es decir, se requiere que el informante, no se desentienda de la información que suministra. En cualquier caso, el Responsable del tratamiento sigue siendo la entidad obligada por Ley a establecer el Sistema Interno de Información.
En primer lugar, es imprescindible poner al corriente al DPO con suficiente antelación del proyecto de implantación del sistema interno o externo que se vaya a acometer siendo especialmente recomendable y útil llevar a cabo una Evaluación de Impacto de Datos de Carácter Personal.
Los resultados de la misma van a ser claves para tener un roadmap de los puntos más críticos, que van a pivotar especialmente sobre como garantizamos los derechos de información de las partes incluyendo no solo al informante, sino también a la persona a la que hace referencia las informaciones así como a los terceros de apoyo, su confidencialidad durante todo el proceso, la adecuada minimización de datos sin poner en peligro la credibilidad y veracidad de las informaciones, la selección adecuada de proveedores de herramientas así como la participación y supervisión constante del DPD.
Es fundamental que los procedimientos que se articulen en las organizaciones atiendan a la realidad de lo que va a suponer la gestión de una denuncia. Estos procedimientos deberán atender a la distinta casuística que se va a encontrar el equipo que gestione el canal de denuncias. Estos procedimientos deben atender, por supuesto a la naturaleza jurídica de la organización, al contexto, a su grado de madurez en el ámbito de Compliance, etc. Se deben diseñar, teniendo en cuenta que es fundamental que se garantice la protección del informante y que no se va a vulnerar el derecho a la presunción de inocencia de los investigados. El tratamiento de las informaciones que se comuniquen dentro del canal de denuncias debe ser totalmente adecuado, para evitar cualquier posible nulidad probatoria o procedimental. Es prioritario que los gestores y perfiles con acceso al sistema de denuncias cuenten con una formación jurídica muy especializada y experiencia práctica para atender las cuestiones que se van a encontrar. En unos primeros momentos, donde hay escasez de experiencia práctica en este campo, la seniority la deberían de aportar los abogados con conocimientos TIC y de mayor perfil procesalista, en tanto que conocen las garantías existentes en el ámbito de un proceso judicial, regido por la legislación de enjuiciamiento.
Y es especialmente importante estar bien formados en este ámbito, para ellos ecosistemas como el Club del DPD de la AEC son un magnifico entorno en el que aprender y compartir experiencias y conocimientos.