Los canales de denuncias internas en la nueva LOPD

La nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD y GDD), publicada en el BOE del 7 de diciembre, incorpora un Título dedicado a la regulación de tratamientos concretos, entre los cuales se encuentran los “canales de denuncias”.

En 2007, la AEPD emitió un Informe en el que estimaba que en dichos canales la denuncias no podrían anónimas, que debían incluir los datos del denunciante si bien no podrían ser comunicados al denunciado, salvo supuestos tasados (vr. Informe 0128/2007).  

Al no ser una práctica extendida en España, más allá de las empresas relacionadas con el mundo anglosajón en el que estos mecanismos de “whistleblowing” sí que estaban desarrollados, este Informe de la AEPD no tuvo demasiada repercusión.

No obstante, este criterio de la AEPD fue revisado con motivo de la modificación del Código Penal de 2015 por la que se establece la responsabilidad penal de las personas jurídicas. En su art.31 Bis se contempla la exención de responsabilidad si la organización cumple una serie de requisitos, entre los que se encuentra la adopción de un modelo de prevención de delitos.

Este modelo, entre otras características, habrá de imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención, es decir, ha de establecer un canal de denuncias. La no aceptación de denuncias por el hecho de ser anónimas podía poner en serio riesgo a las organizaciones que no investigaran hechos de gravedad por este motivo.

Pudieron ser estos los motivos que condujeron a la AEPD a modificar su criterio acerca de los canales de denuncia, lo que se ha plasmado finalmente en el artículo 29 de la LOPD y GDD, que establece que será lícita la creación y mantenimiento de sistemas de información para comunicar la comisión en el seno de la misma o en la actuación de terceros relacionados, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable.

Estos sistemas tendrán que cumplir los siguientes requisitos:

  • Los empleados y terceros deben ser informados acerca de su existencia;
  • Se permite que las comunicaciones sean anónimas;
  • La información deberá conservarse durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados;
  • Si no procede la investigación, se habrán de suprimir pasados 3 meses desde su introducción en el sistema;
  • Las denuncias a las que no se haya dado curso podrán conservarse de forma indefinida de forma anonimizada, para dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos, sin que sea obligatorio el bloqueo;
  • Transcurrido el plazo de 3 meses, los datos podrán seguir siendo tratados por el órgano al que corresponda la investigación de los hechos denunciados, pero fuera del propio sistema de información de denuncias internas.

De esta manera, los canales de denuncia quedan amparados y regulados tanto por la normativa penal como por la de protección de datos, pudiendo ser así una herramienta real de comunicación, accesible a todos los empleados, clientes, proveedores y otros terceros, por el que denunciar irregularidades, incumplimientos o comportamientos contrarios a la ética y la legalidad.

 

Paloma Mendo

pmendo@helasconsultores.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *