El anteproyecto de la nueva Ley Orgánica de Protección de Datos (LOPD), de aprobarse tal y como se dispone su redacción original, consagra la posibilidad de que puedan presentarse denuncias anónimas a través de los canales de denuncia internos de las empresas -o mecanismos de whistleblowing-.
El artículo 17 del texto, que regula los sistemas de información de denuncias internas en el sector privado, determina que "será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad privada, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable".
La opción de que a través de los canales internos se pudieran realizar denuncias anónimas, más allá de la confidencialidad de los datos del denunciante, ha sido una de las cuestiones más controvertidas en la implantación de los sistemas de gestión de compliance, ofreciéndose criterios contradictorios por parte de los tribunales y las autoridades de protección de datos.
La problemática es clara. Por un lado, la obligación de identificarse -aunque se garantice la confidencialidad de la identidad- puede frenar a muchos denunciantes a comunicar los ilícitos o los incumplimientos de los que tengan conocimiento, lo cual mermaría la efectividad del canal de denuncias.
Por otro, la denuncia anónima libera de toda responsabilidad al denunciante, dejándole amplio margen para que comunique hechos falsos, inexactos o con los que pretende perjudicar a un tercero.
Además, prohibir la investigación de denuncias anónimas puede tener el efecto perverso de que sea el propio infractor quien la utilice para blindarse ante una posible investigación.
Un elemento fundamental del 'compliance'
El artículo 31 bis del Código Penal exige que los programas de compliance impongan "la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención". Los canales de denuncia se configuran así en un requisito fundamental para apreciar la efectividad del modelo.
La polémica en relación con la posibilidad de que las denuncias sean anónimas proviene del Informe Jurídico 128/2007 de la Agencia Española de Protección de Datos (AEPD) que, tras analizar la creación de sistemas de denuncias internas, determinó que lo que debería es garantizarse "el tratamiento confidencial de las denuncias presentadas [...] de forma que se evite la existencia de denuncias anónimas, garantizándose así la exactitud e integridad de la información contenida en dichos sistemas". La confidencialidad podría asegurarse impidiendo que el denunciado accediera a los datos identificativos del denunciante.
La AEPD se mostraba de esta manera más restrictiva que el Grupo de Trabajo del Artículo 29 -que reúne a las autoridades de privacidad de los Estados miembros y de la UE-, que en su Dictamen 1/2006 se había manifestado a favor de poder realizar denuncias anónimas, pero siempre que se estableciera esta opción como una medida excepcional a la regla ordinaria. Asimismo, subrayó que el canal de denuncias debía configurarse siguiendo la máxima de no fomentar la presentación de informes anónimos mediante medidas tales como informar al denunciante de que no sufrirá represalias y que su identidad se mantendrá confidencial.
Más recientemente, la norma UNE 19601 de la Asociación Española de Normalización, que contiene los criterios y exigencias para que los sistemas de compliance puedan ser certificados, admitía también la opción de que las denuncias o comunicaciones que se hagan a través de los procedimientos que implante la organización para tener conocimiento de irregularidades o incumplimientos sean anónimas. La UNE, además, requiere que se asegure la investigación de todas las comunicaciones recibidas y se adopten las medidas adecuadas en caso de que se verifique su contenido.
El artículo 17 del anteproyecto de LOPD exige, asimismo, que se informe a los empleados y a terceros de la existencia de los canales internos. El acceso a los datos contenidos en el mismo quedará limitado exclusivamente al personal que lleva a cabo las funciones de "control interno y de cumplimiento y, sólo cuando procediera la adopción de medidas disciplinarias contra un trabajador, al personal con funciones de gestión y control de recursos humanos".
La futura norma también impone a la organización el deber de preservar la identidad y garantizar la confidencialidad del denunciante -cuando éste no realice la comunicación de forma anónima-.
Los datos del denunciante y de los empleados y terceros deberán conservarse en el sistema únicamente el tiempo imprescindible para la averiguación de los hechos denunciados, imponiéndose un límite máximo de tres meses desde su introducción en el sistema para procederse a su supresión. Si fuera necesaria su conservación para continuar la investigación podrán seguir siendo tratados, "pero en un entorno distinto".