La incidencia del Anteproyecto de LOPD en los canales de denuncia

Un candado

Pocas son las empresas que desconocen todavía la importancia de disponer de sistemas o mecanismos internos de denuncia para la prevención, detección y reacción frente a los riesgos penales que podrían materializarse en su seno. Otras empresas, en cambio, a pesar de conocer esta exigencia, se ven inmersas en la incertidumbre que supone llevarlos a la práctica, habida cuenta del conjunto de implicaciones que puede acarrear, entre otros, en materia de protección de datos personales.

Un candado

Para todas estas empresas se presentan importantes novedades legislativas, como es el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (en adelante, el "Anteproyecto") que, haciéndose eco de lo dispuesto por el Reglamento Europeo 2016/679 (aplicable a partir del 25 de mayo de 2018), trata de clarificar sus disposiciones, dentro de los márgenes que el mismo establece, teniendo en cuenta la tradición jurídica derivada de una regulación de más de veinticinco años de vigencia.

Entre otros aspectos, el Anteproyecto incluye, dentro de las categorías que ya eran objeto de una regulación específica, una importante novedad: los sistemas de información de denuncias internas en el sector privado. Esta regulación se ubica en su artículo 17 y ofrece cierta luz en el terreno de los sistemas de información de denuncias internas, también conocidos como "canales de denuncias". Conforme al mismo, será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad privada (empresa), incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable.

Así, el Anteproyecto permite aclarar, en primer lugar, la problemática hasta ahora existente en relación con la configuración de los canales de denuncia como anónimos o meramente confidenciales. La Agencia Española de Protección de Datos, mediante su Informe 0128/2007, se había pronunciado a favor del tratamiento confidencial de las denuncias presentadas a través de estos sistemas, evitando así la existencia de denuncias anónimas, y garantizando así la exactitud e integridad de la información contenida en dichos sistemas. Sin embargo, la entrada en vigor de esta nueva e innovadora Ley abre la puerta también a la denuncia anónima. De esta forma, el denunciante que desee poner de manifiesto unos hechos concretos por considerarlos contrarios a la normativa aplicable, podrá hacerlo sin que la expresión de su identidad sea conditio sine qua non para el tratamiento de su denuncia.

Todo ello parece ir en línea con lo ya establecido previamente por otras jurisdicciones como la norteamericana que, a través de la Ley Sarbanes-Oxley, establece la obligación de que las empresas pongan en marcha un canal para recibir denuncias sobre las irregularidades financieras y contables dentro del seno de la compañía de forma anónima.

En segundo lugar, otro de los aspectos a regular por la futura Ley Orgánica de Protección de Datos será el acceso a los datos contenidos en estos sistemas de denuncia. De conformidad con el mencionado artículo 17, dicho acceso debe quedar limitado exclusivamente al personal que lleve a cabo las funciones de control interno y de cumplimiento de la entidad y, sólo cuando procediera la adopción de medidas disciplinarias contra un trabajador, al personal con funciones de gestión y control de recursos humanos. Todo ello, en línea con lo establecido por el Código penal, cuyo art. 31 bis .5 4º prevé la "obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención".

Adicionalmente, el artículo 17 del Anteproyecto añade que deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes al denunciante si se hubiera identificado. En este sentido, y si bien es cierto que ni el Reglamento Europeo ni el todavía Anteproyecto se han pronunciado expresamente sobre ello, cabría pensar en la posibilidad de externalizar la gestión de estos canales de denuncia en aras de preservar, en mayor medida, la confidencialidad de la información, la fiabilidad y transparencia o, incluso, la rapidez y eficacia en la reacción.

En tercer y último lugar, el artículo 17 del Anteproyecto dispone que los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema únicamente durante el tiempo imprescindible para la averiguación de los hechos denunciados. El plazo máximo se fija en tres meses desde que los datos fueron introducidos en el sistema. Por lo tanto, pasado este plazo, deberá procederse a su supresión. No obstante, el Anteproyecto prevé la conservación de estos datos en el caso de que fuera necesaria la misma para continuar con la investigación en otro entorno distinto, y, además, dispone la no aplicación de la obligación de bloqueo a estos sistemas de denuncia interna.

Expuesto lo anterior, no conviene sino concluir que los sistemas de denuncia interna serán un pilar cada vez más fuerte en el seno de las organizaciones españolas. La legislación les acompaña, ya no solo desde el ámbito laboral o, incluso, penal, con las exigencias que establece el vigente Código Penal para la efectividad de los Modelos de Cumplimiento y Prevención Penal, sino también en el campo de la protección de datos personales que regulará de forma específica los sistemas de información de denuncias internas en el sector privado.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.