Como ya os adelantábamos, el Anteproyecto de la nueva LOPD regula las implicaciones en materia de protección de datos de los canales de denuncia en el sector privado.

Hasta ahora contábamos únicamente con las directrices del Grupo de Trabajo del Artículo 29 en su Dictamen 1/2006, el criterio de la Agencia Española de Protección de Datos en su Informe 128/2007 y más recientemente la Decisión del Supervisor europeo de protección de datos de diciembre de 2015.

Finalmente, la nueva LOPD viene a clarificar una serie de cuestiones controvertidas, especialmente aquellas en las que la autoridad española de protección de datos planteaba un criterio disidente con respecto a Europa.

Las claves de esta nueva regulación son principalmente las siguientes:

  • Se permiten, ahora sí, las denuncias anónimas.
  • Se debe informar a los empleados y a terceros de la existencia del canal de denuncias.
  • Las conductas denunciables deben ser aquellas contrarias a la normativa general o sectorial, cometidas en el seno de la empresa o en la actuación de terceros que contraten son ella.
  • El acceso a los datos que se recaben en el canal de denuncias queda limitado exclusivamente al personal encargado de las funciones de control interno y cumplimiento y, en caso de adopción de medidas disciplinarias, al personal de recursos humanos.
  • Se deben adoptar las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos del denunciante.
  • Los datos sólo pueden conservarse el tiempo imprescindible para la averiguación de los hechos denunciados.

Habrá que esperar a la versión final de la norma para ver cómo quedan finalmente reguladas estas cuestiones ya que, si bien podemos aplaudir el cambio de criterio en cuanto al anonimato de las denuncias, aún quedan algunos interrogantes por resolver (por ejemplo, desde el punto de vista de la normativa de protección de datos, ¿podrán denunciarse conductas contrarias al Código Ético de la empresa aunque no sean ilícitas?).