Con el objetivo de proteger a las personas que alerten de conductas ilícitas e irregulares, el 16 de diciembre de 2019 entró en vigor la Directiva Europea del Parlamento Europeo y del Consejo de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión - Directiva 2019/1937-. Una de las principales obligaciones que establece esta Directiva es la creación de canales de denuncia internos.

¿Objetivos de la Directiva?

• Detectar y prevenir conductas ilícitas e irregulares en una fase temprana.

• Contribuir al funcionamiento y mejora de los procesos y políticas internas de la empresa mediante el establecimiento de canales de denuncias eficaces, confidenciales y seguros.

• Proteger a los denunciantes de posibles represalias.

¿Sujetos obligados?

Se encuentran obligados a establecer canales de denuncias internos:

• Las entidades jurídicas del sector privado que tengan más de 50 trabajadores.

• Las entidades jurídicas privadas de menos de 50 trabajadores, cuando estas empresas se encuentren vinculadas con los servicios productos y mercados financieros o sean sujetos obligados por cuestiones de prevención del blanqueo de capitales y financiación del terrorismo.

• Todas las entidades jurídicas del sector público entre las que se encuentran los municipios de más de 10.000 habitantes o que cuenten con más de 50 trabajadores.

El hecho de la obligación de implantar un canal de denuncias interno no exime de que este tenga que cumplir con la normativa vigente en materia de protección de datos de carácter personal, pues no debemos olvidar que conlleva el tratamiento de datos, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), en su artículo 24, aborda los puntos que se deben tener en cuenta para la regulación del canal de denuncias.

El tratamiento de datos personales a través de estos sistemas tiene que fundamentar su licitud en una de las siguientes bases legales del artículo 6 del RGPD:

1) Para el sector privado. Artículo 6.1.c) del RGPD: El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento o el artículo 6.1.f) del RGPD: el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento.

2) Para el sector público. Artículo 6.1.c) del RGPD: El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento o el artículo 6.1.e) del RGPD: el tratamiento es necesario para el cumplimiento de una misión realizada en interés público.

Se deberá proceder a la actualización del registro de actividades de tratamiento, incluyendo toda la información necesaria (artículo 30 del RGPD), ya que implica una recogida y tratamiento de datos de carácter personal que podrían ser de especial sensibilidad. Posteriormente, se tendrá que realizar un análisis de riesgos que nos permita determinar las posibles amenazas, definir el nivel de riesgos de las mismas y especificar los protocolos para prevenir y gestionar dichos riesgos.

Se deberá comunicar a empleados y terceros sobre la implantación del canal de denuncias explicando su funcionamiento. Además, se tendrá que facilitar la información del tratamiento de datos que conlleva la formulación de una denuncia (artículos 13 y 14 del RGPD y 11 de la LOPDGDD) tanto a los denunciantes como los potenciales denunciados. Está información se tendrá que facilitar al denunciado cuando haya transcurrido un tiempo prudencial en el que se haya podido realizar la investigación preliminar de los hechos, permitiéndole defender debidamente sus intereses, sin que ello implique revelar la identidad del denunciante.

Del mismo modo, la información obtenida a través del canal de denuncias debe respetar en todo momento el principio de proporcionalidad y limitación de la finalidad, no pudiendo utilizar la información recabada por este medio para fines que no sean la detección y prevención de conductas ilícitas e irregulares en el seno de la Organización.

Se deben adoptar las medidas necesarias para preservar la identidad y garantizar la confidencialidad, respecto este punto es importante señalar que la LOPDGDD permite la creación de sistemas de denuncias anónimas. En los supuestos de que la denuncia no sea anónima, se debe garantizar la privacidad e impedir la identificación del denunciado, para ello se deben adoptar las medidas necesarias que impidan cualquier acceso no autorizado, se debe limitar los accesos permitiendo que únicamente pueda tratar la información el órgano designado por la Organización para gestionar la instrucción de la denuncia.

Por último, la Organización deberá fijar el plazo de conservación, según lo establecido en el artículo 5.1.e. del RGPD, de la denuncia, limitándose al tiempo necesario para la investigación de los hechos y, como máximo, a la tramitación de los procedimientos judiciales que pudiesen derivarse de la misma. En todo caso, los datos deben suprimirse transcurridos tres meses desde su introducción en el sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la Organización. Respecto este punto, es importante tener en cuenta la respuesta que la Agencia Española de Protección da a la consulta formulada por la Asociación Española de Compliance (ASCOM) en la que aclara que deberá procederse a su supresión del concreto sistema de información de denuncias internas, pasando a integrarse en los sistemas propios del órgano de cumplimiento o, en su caso, del que tenga a su cargo la gestión de recursos humanos.

Artículo de Fernando Aguado.