guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Sistemas de información de denuncias ...

Sistemas de información de denuncias internas

Los sistemas de denuncias internas en las organizaciones tienen por objeto que, a través de los mismos, pueda ponerse en conocimiento de una entidad privada, incluso de manera anónima, la comisión dentro de la misma o por terceros que contraten con aquélla, de actos o conducta que puedan ser contrarios a la normativa, general o sectorial, aplicable.

Protección de Datos Personales
Protección de datos

¿Cómo se regulan los sistemas de denuncias internas en la LOPDGDD?

Los sistemas de denuncias internas en las organizaciones dan lugar a uno de los tratamientos que se incluyen en el Título IV de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), relativo a las disposiciones aplicables a tratamientos concretos. Tal como se indica en el artículo 24 de la LOPDGDD, la creación y mantenimiento de estos sistemas es lícita con la finalidad de que pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable.

En el caso de las Administraciones Públicas, la LOPDGDD indica que los principios previstos para las entidades de Derecho privado serán aplicables a los sistemas de denuncias internas que pudieran crearse en las administraciones públicas.

Nada dice el Reglamento (UE) 2016/679 (en adelante, RGPD) sobre estos sistemas de denuncias internas, debiendo entender, no obstante, que las condiciones de legitimación y licitud del tratamiento son la previstas tanto en éste como en la LOPDGDD y, en su caso, en la demás normativa que sea aplicable.

¿Qué establece el Dictamen del GT29 sobre los sistemas internos de denuncia?

El Grupo de Trabajo del artículo 29 (GT29), que se incorporó el 25 de mayo al Comité Europeo de Protección de Datos (CEPD), creado por el RGPD, publicó el dictamen 1/2006 relativo a la aplicación de las normas sobre protección de datos de la UE a los sistemas internos de denuncia de irregularidades en los ámbitos de la contabilidad, controles de auditoría internos, cuestiones de auditoría, lucha contra la corrupción y delitos financieros y bancarios, WP 117, adoptado el 1 de febrero de 2006.

En concreto, tal como apunta el mencionado dictamen, el origen de estos sistemas internos de denuncia se encuentra en la ley Sarbanes-Oxley (SOX), que fue adoptada en 2002 por el Congreso de los EE.UU.

A pesar de que se trata de un documento previo al RGPD y, por tanto, desarrollado conforme a la derogada Directiva 95/46/CE, además de que no era "definitivo", es relevante ya que analizaba la aplicación de las normas sobre protección de datos de la UE a los sistemas internos de denuncia de irregularidades en los ámbitos de la contabilidad, controles de auditoría internos, cuestiones de auditoría, lucha contra el soborno y delitos financieros y bancarios, pudiendo, por tanto, servir de referente, en buena medida, a la hora de aplicar la normativa ahora vigente.

En concreto, el GT29 analizaba la compatibilidad de estos sistemas de denuncia de irregularidades con las normas europeas sobre protección de datos, su legitimidad, la aplicación de los principios de calidad y proporcionalidad de datos, la información a proporcionar a los interesados, los derechos que tiene la persona incriminada, la seguridad del tratamiento de los datos, la gestión de estos sistemas y las transferencias internacionales de datos.

¿Se pueden recibir denuncias anónimas?

La posibilidad de que puedan recibirse denuncias anónimas en los sistemas de denuncias internas es una novedad con la LOPDGDD, ya que el criterio previo de la Agencia Española de Protección de Datos (AEPD) era que tal circunstancia no resultaba posible. En concreto, la AEPD emitió en 2007 su informe jurídico 0128/2007 sobre la creación de denuncias internas en las empresas (mecanismos de "whistleblowing") en el que daba respuesta a una consulta sobre estos sistemas.

En concreto, basándose en el dictamen del GT29 ya citado, la AEPD consideraba en su informe que debería partirse del establecimiento de procedimientos que garanticen el tratamiento confidencial de las denuncias presentadas a través de los sistemas de "whistleblowing", de forma que se evite la existencia de denuncias anónimas.

Al respecto, dentro de un apartado relativo a fomentar las denuncias identificadas y confidenciales frente a las denuncias anónimas, el GT29 indicaba en primer lugar que las denuncias anónimas plantean un problema específico por lo que respecta al requisito básico de que los datos personales deben recogerse limpiamente. Por regla general, el Grupo de Trabajo considera que, para satisfacer este requisito, sólo las denuncias identificadas deben comunicarse a través del sistema de denuncia de irregularidades.

No obstante, el propio GT29 indicaba también a continuación que es consciente de que algunos denunciantes pueden no siempre estar en una posición o tener la disposición psicológica para presentar denuncias identificadas. También es consciente del hecho de que las denuncias anónimas son una realidad en las empresas, incluso y especialmente en ausencia de sistemas de denuncia de irregularidades confidenciales organizados, y que esta realidad no puede obviarse. El Grupo de Trabajo considera por tanto que la existencia de sistemas de denuncia de irregularidades puede dar lugar a que se presenten denuncias anónimas a través del mismo, y se tengan en cuenta, pero como excepción a la regla y sujetas a determinadas condiciones.

Estas condiciones se refieren, específicamente, a si deben investigarse y tramitarse con mayor velocidad que las denuncias confidenciales, así como a la necesidad de un examen exhaustivo, con especial precaución, de las denuncias anónimas con la finalidad de evitar el riesgo de mal uso.

Es así que la LOPDGDD incluye también la posibilidad de presentar denuncias anónimas, dada la realidad en el día a día de las organizaciones, si bien entendiendo que deberán tenerse en consideración el criterio mantenido tanto por el GT29 como por la Agencia Española de Protección de Datos.

¿Cuándo se considera legítimo el tratamiento de los datos?

La legitimación del tratamiento de los datos personales en un sistema de información de denuncias internas, como menciona el Preámbulo de la LOPDGDD, estaría basada en el interés público, conforme al artículo 6.1.e) del RGPD.

Al respecto, como ya indicó el GT29 en su Dictamen 06/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE, WP 217, adoptado el 9 de abril de 2014, en relación con esta condición de legitimación del tratamiento, 4, cubre dos situaciones y es pertinente tanto para el sector público como para el sector privado. En el primer caso, el GT29 indica que comprende situaciones en las que el mismo responsable del tratamiento tiene una potestad pública o una misión de interés público (pero no necesariamente una obligación jurídica de tratar los datos) y el tratamiento es necesario para el ejercicio de dicha potestad o para la ejecución de dicha misión.

Y el segundo caso comprende situaciones en las que el responsable del tratamiento no tiene una potestad oficial, pero una tercera parte con dicha potestad le solicita que revele los datos. Por ejemplo, un funcionario de un organismo público competente para investigar delitos puede pedir al responsable del tratamiento que coopere en una investigación en curso, en vez de ordenar al responsable del tratamiento que cumpla una solicitud específica de cooperación. También cubre además situaciones en las que el responsable del tratamiento comunica de forma proactiva los datos a una tercera parte con dicha potestad oficial. Este puede ser el caso, por ejemplo, de que el responsable del tratamiento advierta que se ha cometido un delito penal y facilite esta información a las autoridades competentes con funciones coercitivas por iniciativa propia.

Sin perjuicio de lo anterior, en particular en el sector privado, habría que considerar también tanto que el tratamiento de los datos personales sea necesario para cumplir con una obligación legal, ya sea en virtud del Derecho de la Unión Europea o nacional, como que lo sea para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales.

¿Quién puede acceder a los datos tratados en el sistema de denuncias?

Con la finalidad de garantizar la confidencialidad de los datos personales tratados en el sistema de información de denuncias internas, el apartado 2 del artículo 24 de la LOPDGDD indica que únicamente pueden acceder a los datos personales tratados en el sistema las personas autorizadas para ello, sean internas o no, siempre que sus funciones sean las de control interno y de cumplimiento.

Además, podrán acceder también, entendiendo que es necesario para la gestión del sistema de denuncias interna, los encargados del tratamiento que eventualmente se designe a tal efecto.

Y la LOPDGDD prevé también que, en su caso, será lícito el acceso por otras personas o la comunicación a otros destinatarios, por ser necesario para adoptar medidas disciplinarias o la tramitación de procedimientos judiciales. Es decir, el citado artículo de la LOPDGDD tiene en consideración los tratamientos y los flujos de los datos necesarios para la gestión de denuncias, así como otras medidas relacionadas con las mismas, tales como la imposición de medidas disciplinarias o la comunicación a los Juzgados y Tribunales competentes cuando ello sea necesario para tramitar un procedimiento judicial.

La LOPDGDD indica que solo cuando pudiera proceder la adopción de medidas disciplinarias en el ámbito laboral, podrá permitirse el acceso a los datos personales a quienes desempeñan funciones de gestión y control de recursos humanos. Es decir, se trata de limitar el acceso al sistema de información de denuncias internas a quienes están autorizados para ello en virtud de sus funciones, lo que implica considerar también el alcance de dicho acceso a tal fin. Y lo anterior sin perjuicio de que se comuniquen a la autoridad competente, según corresponda, los hechos constitutivos de un ilícito penal o administrativo.

Adicionalmente, en el apartado 3 del artículo 24 LOPDGDD, se indica que para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada el responsable del tratamiento tendrá que adoptar las medidas necesarias, prestando especial atención a la persona denunciante, en caso de que la denuncia no fuera anónima.

¿Cuál es el plazo de conservación de los datos personales en el sistema?

El apartado 4 del artículo 24 de la LOPDGDD indica específicamente que los datos personales de quien formule la comunicación, es decir, la denuncia interna, así como de los empleados y terceros solo se podrán conservar en el sistema de información de denuncias internas durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados. Esto significa que, en principio, la LOPDGDD indica cuál es el criterio a seguir por el responsable del tratamiento para determinar hasta cuándo podrán tratarse los datos personales de quien denuncia y de las personas a las que se refiere o a las que involucra o afecta la denuncia, es decir, los terceros.

No obstante, el citado apartado del artículo 24, a continuación, específica que transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, con la excepción relativa a que la finalidad de conservar los datos personales sea la de dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica.

Además, en caso de no dar curso a una denuncia, el responsable del tratamiento tendrá que anonimizar los datos personales cuando transcurra el plazo, específico o genérico, indicado en este artículo, sin que resulte aplicable la obligación de bloqueo.

Recuerde que...

  • La creación y mantenimiento de sistemas de denuncia interna es lícito, siempre que se cumpla con los requisitos establecidos en la normativa aplicable, en particular la LOPDGDD.
  • Como norma general, los datos personales tratados en los sistemas de denuncias internas deberán suprimirse en un plazo máximo de tres meses desde su introducción.
  • En un sistema de denuncias internas pueden tramitarse denuncias anónimas, con especial precaución para evitar un uso abusivo. Se deben adoptar medidas para garantizar la confidencialidad de las denuncias.
Subir