Los sistemas de denuncias internas ('Whistleblowing') son un cauce perfecto para reclamar irregularidades y cada vez tienen más presencia en los grupos empresariales. Sin embargo, a la hora de implementar este tipo de sistemas, la entidad o grupo deberá tener en cuenta la aplicación de las normas de protección de datos personales.
Los sistemas de denuncias internas (sistemas Whistleblowing), forman parte, cada vez en mayor medida, de las buenas prácticas de Gobierno Corporativo de las empresas, con especial incidencia en los grupos de empresas con matrices radicadas fuera de España.
Estos sistemas, son un cauce interno para la denuncia de irregularidades, desde las puramente contables o financieras, hasta situaciones de acoso laboral.
En todo caso, se trata de una materia que cada vez de manera más frecuente se engloba dentro del concepto de Cumplimiento normativo, ya que en su configuración las entidades hacen referencia, tanto al cumplimiento de la normativa general o la aplicable por el sector de la entidad, como a las propias normas internas, código ético o normas de Buen Gobierno Corporativo.
Cumplimiento normativo
Reiterando el anclaje en el concepto de Cumplimiento normativo, de entre las diferentes perspectivas con las que se puede analizar el Whistleblowing, vamos a tratar aquella que se refiere a que, al basarse en el tratamiento de datos personales (recogida, revelación y destrucción de datos de personas físicas), resultan aplicables las normas de protección de datos personales.
Así, una entidad o un grupo de entidades, a la hora de implementar un sistema de denuncias internas, en el caso de que tengan su sede en España, deberá tenerse en consideración la Ley Orgánica de Protección de Datos (Ley Orgánica 15/1999) y su Reglamento de desarrollo (Real Decreto 1720/2007), así como las indicaciones de la Agencia Española de Protección de Datos (AEPD), en su Informe Jurídico 0128/2007 y en su Guía "La Protección de Datos en las relaciones laborales".
Además, se deberá tomar como marco de referencia, desde una perspectiva comunitaria, el Dictamen 1/2006 relativo a la aplicación de las normas sobre protección de datos de la UE a los sistemas internos de denuncia de irregularidades en los ámbitos de la contabilidad, controles de auditoría internos, cuestiones de auditoría, lucha contra la corrupción y delitos financieros y bancarios del Grupo del Artículo 29 (WP29).
Procedimientos
Consecuencia de los antedichos textos, se deberá procedimentar el sistema de denuncias internas tomando en consideración cuestiones como:
- La entidad deberá notificar a la AEPD el sistema Whistleblowing, como un nuevo tratamiento de datos.
- El tratamiento de datos del personal de la entidad, a quien afectaría el sistema Whistleblowing, está legitimado por la existencia de la relación laboral, mercantil o negocial (incluyendo al personal externo afectado p.e. de subcontratas) con la entidad, recogida en la excepción del artículo 11.2 c) LOPD, y por tanto no sería necesario su consentimiento.
No obstante, persiste el deber de información tanto previo a la denuncia (funcionamiento del sistema y consecuencias para los denunciados), como tras la denuncia (transcurrido un tiempo prudencial que no dificulte la investigación, se deberá informar al denunciado del contenido de la denuncia, a fin de que éste pueda defenderse).
- Se deberá recoger el ámbito limitado del procedimiento de denuncias, ya que éstas se deberán referir únicamente a hechos o actuaciones con una implicación efectiva en la relación entre entidad y denunciado.
- Debemos recordar que la AEPD, de manera más estricta que el WP29, establece sin excepciones, que las denuncias serán confidenciales, nunca anónimas.
Tratamiento de los datos del denunciante
Los datos del denunciante no se revelarán, serán confidenciales, incluso en caso de ejercicio del derecho de acceso, ante el que podrá contestarse negando la información, hasta un momento posterior en que no dificulte la investigación de la denuncia.
- Debido al tratamiento de datos personales en los sistemas de información de la entidad, se deberán implementar las medidas de seguridad técnicas y organizativas del Reglamento de desarrollo de la LOPD, en función del tipo de datos tratados en el sistema de denuncias. Aunque la AEPD en su Guía de relaciones laborales, recomienda adoptar medidas de seguridad estrictas, más allá de lo requerido por su nivel de seguridad según la tipología de datos.
Asimismo, se deberán recoger en el procedimiento los plazos de conservación, teniendo en cuenta que la información deberá eliminarse en caso de no prosperar la denuncia, o bien una vez se hayan adoptado las medidas contra el denunciado y ya no sea necesaria su conservación por plazos de posible responsabilidad legal de la entidad.
Si el sistema se externaliza...
- Si la entidad externaliza el sistema (por un tercero o uno de los miembros de su grupo de empresas), bien en la fase de definición, bien para la gestión y/o control del sistema, se deberá firmar el contrato de encargo del tratamiento, exigir al prestador el cumplimiento de las medidas de seguridad, debiendo la entidad asegurarse diligentemente el cumplimiento de las mismas; y regular las posibles transferencias internacionales, en caso de que datos personales de nacionales españoles sean transferidos y tratados en países o territorios fuera del Espacio Económico Europeo.
Por otro lado, el sistema de denuncias internas es un elemento más dentro de las buenas prácticas de buen Gobierno Corporativo, un mecanismo adicional que complementa los sistemas de información y comunicación de la organización, junto a la auditoría interna, los departamentos de calidad, o los representantes sindicales, pero nunca los sustituye.
Conclusión final
En conclusión, la definición e implantación de un sistema Whistleblowing, como una acción más del Buen Gobierno Corporativo de una empresa o grupo de empresas, es posible englobarla dentro del concepto de Cumplimiento normativo.
En particular, el tratamiento de datos personales que conlleva, requiere que se tenga en cuenta una serie de aspectos establecidos por la normativa aplicable.
En definitiva, se deberá establecer una metodología que permita: i) identificar los requisitos aplicables; ii) establecer y cuantificar los riesgos derivados; iii) implementar las medidas de reducción del riesgo; iv) promover un sistema de gestión continuada y sostenible.