Hace unos días comentábamos cuáles eran las claves para conseguir que un canal de denuncias fuera realmente efectivo. Como vimos, uno de los principales factores del éxito de un canal de denuncias es su adecuado diseño y configuración, para lo cual es imprescindible tener en cuenta la normativa sobre protección de datos.

En efecto, gestionar e investigar las denuncias que se reciben a través del canal implica tratar datos de carácter personal -como mínimo- del denunciante y denunciado; y no sólo datos identificativos sino incluso datos tan sensibles como la sospecha sobre la posible comisión de un delito.

Por tanto, al igual que en cualquier otro tratamiento de datos llevado a cabo por la compañía, se deben respetar los principios inspiradores de la normativa sobre protección de datos de carácter personal, pero teniendo en cuenta una serie de particularidades.

A nivel europeo, estas particularidades han sido puestas de manifiesto por el Grupo de Trabajo del Artículo 29 (GT29) en su Dictamen 1/2006, de 1 de febrero. Como sostiene este órgano, la aplicación de la normativa de protección de datos supone un mecanismo de protección de la persona denunciada por cuanto el denunciado está expuesto al riesgo de estigmatización incluso antes de saber que ha sido denunciado y de que se haya llevado a cabo la investigación.

Poco después la Agencia Española de Protección de Datos (AEPD) -en su Informe 128/2007- fijó los requisitos que deben observarse para la implantación de un canal de denuncias en España, que pueden resumirse en los siguientes:

  • Todas las personas cuyos datos pueden ser tratados en el marco de un canal de denuncias deben mantener con la compañía un vínculo contractual, ya sea laboral, civil o mercantil.

A la hora de abordar el tema de la legitimación para el tratamiento de los datos, la AEPD ha interpretado que, si bien no es necesario obtener el consentimiento del afectado (lo cual carecería de todo sentido), sí debe existir algún tipo de relación contractual con la organización (excepción prevista en el artículo 6.2 LOPD). En este sentido, dicha relación puede ser de carácter laboral, civil o mercantil. Lo anterior, entendemos que permite abrir el canal de denuncias no sólo a los trabajadores, sino también a otros colectivos como proveedores o clientes. Únicamente es necesario de que dicha relación se mantenga vigente y que la existencia del canal de denuncias se haya incorporado como una parte integrante de la misma mediante una adecuada comunicación y difusión.

  •  El ámbito objetivo de las denuncias debe referirse a materias o normas internas o externas cuyo incumplimiento tenga una consecuencia efectiva sobre el mantenimiento de la relación contractual entre la empresa y el denunciado.

Por este motivo, resulta sumamente importante (i) detallar claramente las conductas irregulares que pueden ser denunciadas (p.ej. incumplimientos del Código ético y otra normativa interna) y (ii) prever un adecuado régimen disciplinario en caso de incumplimiento.

  • Anonimato ¿sí o no? La AEPD adopta un criterio contrario al establecido por el GT29 al prohibir la posibilidad de remitir denuncias anónimas.

La Agencia afirma que deben establecerse mecanismos que garanticen la confidencialidad de las denuncias, pero evitando el anonimato; salvaguardando así la exactitud e integridad de la información contenida en la denuncia. Por tanto, aunque la AEPD parece estar revisando internamente este criterio, a día de hoy las denuncias anónimas no están admitidas en nuestro país.

Por otro lado, una de las consecuencias de este deber de confidencialidad es que el derecho de acceso que asiste al denunciado está limitado a los propios datos de carácter personal, estándole vetado el acceso a la identidad del denunciante.

  • La compañía debe establecer un plazo máximo para la conservación de los datos relacionados con las denuncias.

Lo anterior es un reflejo del principio de calidad recogido en el artículo 4 LOPD, de tal manera que los datos no pueden guardarse de manera indefinida. Por el contrario, en el caso de los canales de denuncia, este plazo debería limitarse a la tramitación de las investigaciones internas y, como máximo, a la tramitación de los procedimientos judiciales que, en su caso, se deriven de la denuncia.

  • Las personas cuyos datos se traten en el marco del canal de denuncias deben ser debidamente informadas del tratamiento que se va a hacer de sus datos, de conformidad con el artículo 5 LOPD. 

En el caso del denunciado, el cumplimiento de este deber de información puede retrasarse cuando existan sospechas fundadas de que la información al denunciado podría ocasionar la destrucción de pruebas, pero siempre y cuando no se sobrepase el plazo de 3 meses desde la recepción de la denuncia.

  • El fichero que recoja la información obtenida en relación con el canal de denuncias debe estar protegido por medidas de seguridad de nivel alto.

Lo anterior se debe a que no es posible conocer a priori qué tipos de datos se van a registrar en el fichero y no resulta descabellado pensar que, en el marco de una denuncia o su posterior investigación, se recaben datos especialmente protegidos como los relacionados con la afiliación sindical o la salud de una persona.

A la vista de todo lo anterior, resulta especialmente recomendable contar con un asesor externo para el diseño e implantación del canal de denuncias, que pueda asesorar a la compañía en el cumplimiento de los anteriores requisitos y el resto de obligaciones derivadas de la legislación sobre protección de datos.

En Lascasas Despacho de Abogados ayudamos a nuestros clientes en el diseño a medida e implantación personalizada de sus canales de denuncia y en la tramitación de las denuncias a través de Ethicos, nuestra plataforma informática de gestión de canales de denuncia.