LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 16:30:58

LegalToday

Por y para profesionales del Derecho

Blog PRODAT

La prohibición de denuncias anónimas en los canales internos de las empresas (whistleblowing), cuestionada en una sentencia

Empleados

La reciente Sentencia del Tribunal Superior de Justicia de Canarias (sede de Las Palmas de Gran Canaria) Sala de lo Social 2117/2016, de 22 de junio de 2016, ha cuestionado las directrices de la Agencia Española de Protección de Datos sobre los canales internos de denuncias, que no permiten las denuncias anónimas.

Debemos recordar para situarnos en el contexto de la sentencia, que España es el único país que no permite denuncias anónimas en los canales internos establecidos por las empresas para que los empleados denuncien y reporten conductas delictivas o contrarias a las normas internas de conducta de la empresa, realizadas por otros empleados o superiores jerárquicos.

El origen de estos sistemas lo tenemos en Estados Unidos con la promulgación de la Ley Sarbanes – Oxley, que obliga a las sociedades estadounidenses que cotizan en bolsa y a sus filiales ubicadas en la Unión Europea, así como las sociedades no estadounidenses, que coticen en alguno de los mercados de valores Estados Unidos, a establecer en los comités de auditoría  procedimientos para la recepción, retención y tratamiento de quejas recibidas por el causante en relación con la contabilidad, controles contables internos o cuestiones de auditoría; y la presentación confidencial y anónima por parte de los empleados de la persona causante de preocupación en relación con cuestiones contables o de auditoría cuestionables.

El Dictamen 1/2006 sobre la aplicación de las normas de la UE relativas a la protección de datos a programas internos de denuncia de irregularidades en los campos de la contabilidad, controles contables internos, asuntos de auditoría, lucha contra el soborno, delitos bancarios y financieros del Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE sí  permite las denuncias anónimas en el ámbito de los servicios financieros, contables y de auditoría. Establece como regla general la identificación del denunciante, pero permite bajo determinadas condiciones la recepción y tramitación de denuncias anónimas.

Por su parte la Agencia Española de Protección de Datos en su Informe Jurídico 128-2007 no sigue el criterio establecido por el Grupo de Trabajo del Artículo 29, al no permitir ni siquiera bajo determinados requisitos, los sistemas y canales internos de empresa que permitan la recepción de denuncias anónimas.

Esta situación se vio agravada tras la reforma del Código Penal de 2015 que profundiza en la responsabilidad penal de la persona jurídica introducida en la reforma del año 2010, al establecer como eximente de responsabilidad penal, que la persona jurídica cuente con modelos de organización y gestión que incluyan medidas de vigilancia y control idóneas para prevenir delitos o para reducir el riesgo de comisión de forma significativa.

Volviendo a la sentencia mencionada anteriormente, en ella se analizan entre otras cuestiones, la validez como prueba y su conformidad con el derecho a la protección de datos del recurrente, de una denuncia anónima presentada en el Canal Ético de Endesa que terminó en un despido disciplinario. En la denuncia se indicaba que el recurrente realmente no utilizó la excedencia de tres años solicitada y concedida por la empresa para el cuidado de familiares contemplada en el Convenio Colectivo de Endesa, sino que en realidad una buena parte de ese periodo estuvo en prisión cumpliendo condena.

La Sala analiza en su Fundamento Jurídico Segundo la posible vulneración del derecho a la protección de datos personales del recurrente y analiza, entre otros, tanto el Informe Jurídico 128-2007 como el Dictamen 1/2006 poniendo de manifiesto las diferencias de criterio entre ambos, lo que la lleva a realizar estas contundentes afirmaciones:

"Ahora bien, el hecho de que la transmisión de la denuncia anónima depositada en el Buzón Ético pudiera suponer incumplimiento de las orientaciones ofrecidas por la AEPD no significa que ENDESA SA vulnerase en el tratamiento de esa información personal el derecho a la protección de datos personales del denunciado" (la negrita es nuestra).

"el recelo que suscita el anonimato no puede impedir que la empresa, primero ponga en marcha un proceso de indagación interna reservada para una ponderación de los hechos valorando su verosimilitud, credibilidad y suficiencia; más adelante, reconocido por el denunciado el hecho que sustenta la denuncia – aunque no él ánimo defraudador -, proceda a la incoación de expediente a efectos de su depuración; y finalmente, contrastada la veracidad, calificándolos como falta muy grave proceda a su sanción con el despido".

"ENDESA despide al trabajador no por el hecho de ser denunciado sino porque los hechos denunciados, tras ser investigados, han resultado acreditados, …" (la negrita es nuestra).

Queda por tanto claro que la sentencia cuestiona del Informe Jurídico 128-2007 de la AEPD, pero además debemos también tener presente que la entrada en aplicación el próximo 25 de mayo de 2018 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, (RGPD) puede darle la puntilla definitiva al Informe Jurídico 128-2007, ya que de mantenerse por parte del futuro Comité Europeo de Protección de Datos (actual Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE) la postura actual que permite bajo determinados requisitos la presentación de denuncias anónimas, y teniendo en cuenta que muchos de los canales internos de denuncias son desarrollados por las matrices (no necesariamente españolas), para posteriormente implantarse en todas las filiales (en muchos casos españolas), se podrían invocar los mecanismos previstos en los artículos 60 y siguientes del RGPD sobre cooperación y coherencia entre las autoridades nacionales de control, debiéndose destacar lo dispuesto en el artículo 63 del RGPD: "A  fin  de  contribuir  a  la  aplicación coherente  del  presente  Reglamento en  toda  la  Unión, las  autoridades de  control cooperarán entre sí y, en su caso, con la Comisión, en el marco del mecanismo de coherencia establecido en la presente sección".

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

RECOMENDAMOS

Blog

Logo PRODAT

Te recomiendo

Correo electrónico: info@prodat.es
Web: www.prodat.es

PRODAT es una organización especializada en servicios de Consultoría, Auditoría y Outsourcing en el ámbito de la Ley Orgánica de protección de datos de carácter personal (LOPD), Reglamento 2016/679 general de protección de datos de la Unión Europea, ISO 27001, Ley de servicios de la sociedad de la información y del comercio electrónico y Compliance.

PRODAT opera en todo el territorio nacional a través de una red de 20 oficinas y en la actualidad cuenta con más de 40 consultores que utilizan las mismas metodologías y herramientas informáticas.

Fundada en 1997, en la actualidad es una organización firmemente asentada en el mercado.