Hasta “ahora” en España los canales de denuncia no podían ser anónimos. Una cuestión, desde luego, no exenta de debate.
Y ello debido, fundamentalmente, a que un informe jurídico de la AEPD (0128/2007) admite el establecimiento de estos sistemas cuando se circunscribe a aquellas denuncias referidas a materias o normas internas o externas cuyo incumplimiento tiene una consecuencia efectiva sobre el mantenimiento de la relación contractual entre la empresa y el denunciado.
Si bien subrayando – en palabras de alguna sentencia de apelación de los social- que, "en garantía de los principios de exactitud e integridad de la información contenida en dichos sistemas, debería exigirse que únicamente acepten la inclusión de denuncias en las que aparezca identificado el denunciante, sin perjuicio de la garantía de la confidencialidad de sus datos de carácter personal, no bastando el establecimiento de un primer filtro de confidencialidad y una posible alegación última del anonimato para el funcionamiento del sistema".
Sin embargo, el artículo 24 del Anteproyecto de Ley Orgánica de Protección de Datos presentado al Congreso lo permite, y con ello genera algunos interrogantes .
¿Y qué dice el Anteproyecto?
"Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información"
¿Qué significa que será licita su creación para sistemas de información que pongan de manifiesto conductas…. que puedan ser contraria a la normativa general o sectorial que le fuera aplicable….?
¿ Se incluyen en esta redacción las "normas" que la propia empresa se da cuando suscribe su Código Ético, Código de Conducta que las más de las veces se obligan a los empleados a aceptar y respetar expresamente?
¿Si se trata de actos o conductas contrarios a las políticas internas de la organización no es lícita la creación y mantenimiento de sistemas de información?
¿Denunciar anónimamente (o no) un fraude interno que no comporta violación de normas "generales o sectoriales" no será lícito? ¿o no lo será tratar los datos de las personas involucradas en la denuncia?.
¿ Qué significa que los "terceros" deberán ser informados acerca de la existencia de los canales de denuncia? ¿Quiénes son los terceros? ¿Son los "socios de negocio" en terminología de la UNE 19601? Es decir: cualquier tercero con el que se tiene o se pretende establecer una relación vinculada con las actividades de la organización, y que no sea un miembro de la misma. Si la respuesta es afirmativa ¿quiere ello decir que si omito informar a mis "socios de negocio" mi canal de denuncias no es lícito bajo estándares de la futura LOPD?
Pero no se para aquí el Anteproyecto…
"El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento. Sólo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos."
pero ¿qué quiere decir "desarrollen funciones de cumplimiento" ¿Bastará con que suscriba un contrato de tratamiento de datos con mi cliente diciendo que desarrollo funciones de cumplimiento? ¿las empresas que externalizan los canales de denuncia desarrollan funciones de cumplimiento?
¿Y los pobres olvidados de RRHH? ¿No desarrollan funciones de cumplimiento?… Tal parece que no, porque "solo cuando "Pudiera" proceder la adopción de medidas disciplinarias pueden acceder a los datos…. Pero ¿quién decide si puede procederse a la adopción de medidas disciplinarias si no es el propio departamento de RRHH? … Desde luego no el departamento (interno o externalizado) de Compliance…Esto no lo digo yo: lo dicen todos los Sistemas de Gestión de COMPLIANCE. La pescadilla que se muerde la cola… Si es RRHH quien puede decidir, pero en tanto no se decide, no puede acceder a los datos ¿cómo lo decide?… Por favor… que alguien me lo aclare.
Seguimos:
"Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados."
¿Cuánto dura el tiempo imprescindible? ¿dura lo mismo en una cotizada del IBEX que en una empresa familiar? ¿Y si se trata de una multinacional que tiene que acudir a su departamento de control interno para que este investigue? ¿tiempo imprescindible es un concepto jurídico indeterminado? ¿cuál es la sanción si se mantienen más tiempo del "imprescindible"? ¿quién juzga lo que es imprescindible? ¿La AEPD? ¿Cuándo se inicia una investigación? ¿quién decide, determina y prueba que ya se ha iniciado una investigación?… Que alguien me lo aclare, por favor…porque mi respuesta podría ser que "Estamos en proceso de decidir si iniciamos o no una investigación, de modo que… mantengamos los datos los próximos ¿seis? meses.
Igual la respuesta la da el propio Anteproyecto…
"En todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias. Si fuera necesaria su conservación para continuar la investigación, podrán seguir siendo tratados en un entorno distinto por el órgano de la entidad al que competa dicha investigación"
Pero…¿ debe informarse al denunciado/interesado de su inclusión en el sistema? O de su supresión en el sistema? … Si sale del "sistema" ¿ya no son datos personales? ¿durante cuanto tiempo pueden ser tratados en un "entorno distinto"? ¿Qué es un "entorno distinto"? ¿Un despacho de abogados? ¿Si ya no están en su sistema no son datos protegidos y se pueden tratar libremente por ese despacho de abogados que colabora en la investigación como "entorno distinto"…?
