Canales de denuncias internas y denuncias anónimas en la nueva Ley Orgánica de Protección de Datos

En muchas empresas todavía choca la necesidad de contar con un canal de denuncias a través del cual los empleados, e incluso clientes y proveedores, puedan denunciar conductas contrarias a las leyes y a los códigos éticos.

La Ley Orgánica 3/2018 de 5 diciembre de Protección de Datos Personales y de garantía de derechos digitales (LOPDGDD) ha abordado específicamente este tema en lo que a los datos personales se refiere.

Estos canales de denuncias (pido perdón a aquellos que ya conozcan el porqué) son parte de los sistemas de cumplimiento normativo implantados a raíz de la modificación del Código Penal del 2015 (artículo 31 bis). En dicha modificación y con respecto a la posible responsabilidad penal de las personas jurídicas (sí las empresas también pueden ser responsables penalmente), sólo la implantación de un plan de prevención de riesgos penales y cumplimiento normativo  eficaz (modelos de organización y gestión según el texto del propio artículo) eximiría a la persona jurídica de la responsabilidad derivada de los delitos cometidos por sus trabajadores en su nombre. Esto es lo que se conoce como «compliance«.

Estos planes de prevención de riesgos penales (muy arraigados en el mundo anglosajón desde hace tiempo, pero muy recientes en nuestro sistema jurídico) incluyen canales de denuncias. Estos canales facilitan la puesta en conocimiento de la propia entidad si alguien comete un delito (u otra violación normativa o de código ético) con todas las garantías de confidencialidad y sin miedo a represalias.
Es decir, que si en mi empresa me entero que el Director Financiero está metiendo la mano en la “saca” pueda comunicarlo sin miedo al despido. ¿Fácil verdad?

Siendo como somos latinos y con una cultura del chivatazo vista como algo negativo, los canales de denuncias no suelen recibir muchas denuncias. Cuando se trata de cosas “graves” los empleados suelen temer por sus represalias y es comprensible que prime el interés personal en conservar el empleo o la tranquilidad por encima de convertirse en el “Quijote” de la entidad.

En la mayoría de las ocasiones, “radio macuto” funciona incluso mejor, especialmente si se trata de conductas en las que el denunciante sólo pone en conocimiento de la empresa la conducta ilícita y no es “víctima” directa de la misma. Si alguien se entera de que un delito, lo suelta en un círculo de confianza y tarde o temprano la información llega donde tiene que llegar… (esto es básicamente radio macuto que carece de garantías de cómo llegue la información. Es ilustrativo acordarse del juego del “teléfono escacharrado” donde desde la primera noticia a la última, cada “informante” suele poner algo de su cosecha. Como juego es desternillante, en el ámbito empresarial, es nefasto.)

Ya en su momento el Grupo de Trabajo del artículo 29 (hoy desaparecido y sustituidas sus funciones por el Comité Europeo de Protección de Datos) emitió un informe sobre este tema y en concreto insistía en la necesidad de garantizar la confidencialidad de los datos tanto de denunciante como de denunciado y de la propia investigación. Residualmente y como último recurso, se admitía la posibilidad de que la denuncia fuera anónima cuando fuera imposible garantizar dicha confidencialidad.

Pero dicho informe del Grupo de Trabajo del artículo 29 cuyo carácter no era vinculante por los estados miembros, encontró en la Agencia Española de Protección de Datos una objeción sobre el posible anonimato, considerándolo contrario a la propia normativa. Existe un informe específico del año 2007 que ilustra esta afirmación.

Ahora bien, puesto que las cosas han seguido evolucionando, el RGPD ha irrumpido en nuestras vidas con energía y más que nunca se han homogeneizado los criterios, en la nueva Ley Orgánica 3/2018 de 5 de diciembre de protección de datos personales y de garantía de los derechos digitales ya se contempla expresamente la denuncia anónima. En particular en el artículo 24 que dice:

“será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable.

Con lo cual, la restricción del anonimato desaparece.

En la práctica y tal y como están configurados la mayoría de los canales (direcciones de email, plataformas externas, etc) es prácticamente imposible denunciar de forma anónima, pues el origen del email siempre podría averiguarse. No obstante, a veces es la única forma de tomar conocimiento de delitos graves de los que un trabajador es conocedor porque trabaja en esa área específica en la que el delito se ha cometido.

El artículo 24 citado también contiene otras novedades, entre otras la constatación a través de la Ley Orgánica de:

  • Su licitud.
  • Del carácter restringido de la información que obre en el canal de denuncias (limitado a la propia investigación y control interno).
  • La obligación de garantizar la confidencialidad de la identidad de denunciantes y también de denunciados (cuidado con las denuncias falsas que pueden arruinar la reputación de una persona o crear falsos bulos).
  • La conservación durante el tiempo imprescindible y en general tres meses desde que se denuncia salvo que dichos datos sean necesarios para evidenciar el buen funcionamiento del propio canal de denuncias.
  • La posible anonimización de las denuncias no tramitadas sin que sea necesario el previo “bloqueo” establecido en la LOPDGDD como paso previo a la destrucción de los datos.

De lo que se trata en definitiva es

a) Que el canal de denuncias garantice la confidencialidad y permita la denuncia anónima.
b) Que en el canal de denuncias no se conserven datos personales más tiempo del imprescindibles (tres meses).
c) Que los registros antiguos se pueden anonimizar.
d) Y si es necesario guardar los datos porque se ha puesto en marcha una investigación, no deberían conservarse en el propio canal sino en aquél entorno donde se esté llevando a cabo la investigación.

Y por supuesto, el canal de denuncias tendrá que estar recogido como «actividad de tratamiento» en el propio registro de actividades de tratamiento de la entidad.

El compromiso con el cumplimiento normativo es un paso más que las empresas han adoptado no sólo para «eximirse» o mitigar su responsabilidad frente a una posible sanción, sino dentro de un marco de ética y de responsabilidad social a través de los cuáles, entre todos, podemos construir una sociedad mejor.

Paz Martín

#losdetallesimportan

26 de abril de 2019