Protección de datos en los canales de denuncia

Data protection: EU whistleblowing directive crucial aspects for companies

Protección de datos en los canales de denuncia

Tal y como hemos comentado en un post anterior sobre la nueva Directiva UE 2019/1937 en relación a los  canales de denuncias, es esencial proteger a los denunciantes para que estos no sufran represalias por parte de la organización si denuncian alguna infracción y, en este sentido, cobra especial relevancia la protección de datos del denunciante durante todo el proceso. 

El hecho de que las empresas cuenten con un canal de denuncias aporta valor y transparencia a las mismas en el mercado, y en muchos casos puede prevenir la comisión de fraudes y otros delitos

Sin embargo, para que esto suceda, no es suficiente con su simple implementación, sino que, además, hay que garantizar su plena efectividad y para ello, es necesario que la organización respete una serie de principios básicos de la protección de datos, generando así una confianza plena en los potenciales denunciantes, que les animará a revelar comportamientos incorrectos por sentirse seguros. Ha quedado claro que la privacidad es imprescindible, pero ¿Cómo implementar un canal de denuncias seguro?

Claves para un canal de denuncias seguro

Para respetar la privacidad de las partes implicadas en la denuncia, es un requisito indispensable cumplir con los principios de protección de datos regulados en el Reglamento General de Protección de Datos (RGPD).

En primer lugar, unos de los pilares fundamentales para efectuar un tratamiento de datos legal es contar con una base de legitimación (art. 6 y 9 RGPD) que justifique el tratamiento de los datos personales. Según la autoridad de control española (Agencia Española de Protección de Datos), no es necesario obtener el consentimiento del afectado, puesto que esto afectaría a la eficacia de la denuncia, pero sí es preciso que exista una relación contractual con la organización (art. 6.1.b RGPD), que puede ser de carácter civil, laboral o mercantil, permitiendo también así, recibir denuncias de proveedores o clientes. Por otra parte, el Grupo de Trabajo del Artículo 29, también defiende el interés legítimo (art. 6.1.f) del responsable de tratamiento como una base de legitimación, por cuanto que éste tiene el derecho de conocer las irregularidades cometidas en el seno de la organización y establecer medidas para su prevención, siempre y cuando su interés no dañe la presunción de inocencia del denunciado. 

El siguiente paso una vez cumplido el principio de legalidad, es informar (art. 13 y 14 RGPD) a los trabajadores sobre la existencia del canal de denuncias. El Supervisor Europeo de Protección de Datos (SEPD) establece que la información se ha de facilitar de manera general, a través del contrato de trabajo, o mediante circulares informativas a los empleados, pero, también hay que informar sobre el tratamiento de datos que se va a realizar en el momento en el que se reciba la denuncia; no obstante, en este punto hay que tener en cuenta algunas limitaciones impuestas por el Reglamento 2016/680, que permite restringir mediante medidas legislativas el derecho de protección de datos del denunciado para evitar obstaculizar las denuncias y su seguimiento.

No debemos olvidar cumplir con el principio de proporcionalidad y limitación de la finalidad de la información contenida en la denuncia, ya que, únicamente será legítimo el tratamiento de datos que tengan que ver con los hechos fraudulentos, donde exista una efectiva relación entre la empresa y el denunciado. Por su parte, el principio de limitación de la finalidad implica que la información recogida única y exclusivamente puede ser utilizada para el fin previsto: la investigación de los hechos denunciados. 

Por otro lado, para la protección de datos del denunciante, se hace indispensable que la empresa cuente con una serie de medidas técnicas y organizativas por parte del responsable de tratamiento que ayuden a preservar la seguridad y confidencialidad de la información, como por ejemplo: limitar el acceso a los datos únicamente a aquellas personas que tengan encomendado la gestión del canal de denuncias y la investigación del hecho; implementar un sistema de registro de accesos; establecer una firma de compromisos reforzados de confidencialidad con los usuarios autorizados; realizar evaluaciones de impacto para este procedimiento en concreto y, sobre todo, formar profesionalmente al personal competente que se encargue del canal sobre la normativa aplicable a los datos. 

Cabe destacar que estas medidas, se han de tener especialmente en cuenta en aquellos casos donde sea una tercera compañía la que gestione el canal de denuncias, ya que se produce una transferencia de datos que, en muchos casos, puede ser internacional, por lo que los afectados deben ser debidamente informados. 

Otro de los aspectos a destacar es el plazo de conservación y eliminación de los datos. Según el art. 5.1.e del RGPD, serán mantenidos durante el tiempo estrictamente necesario para cumplir con el fin para el que fueron recogidos. El SEPD y el GTA29 afirman que deben aplicarse diferentes períodos de conservación en función del caso, pero que, en cualquier caso, la información de la denuncia debe suprimirse lo más rápido posible, por tratarse de datos sensibles, y por lo general, en un plazo de dos meses desde que finalice la primera evaluación del supuesto. 

Finalmente, es necesario garantizar el ejercicio de los derechos de acceso, limitación, rectificación, supresión y oposición del denunciado, sin que esto implique revelar la identidad del denunciante, pero al igual que en el supuesto anterior, estos derechos también se pueden ver restringidos durante un tiempo prudencial en aras a la protección de la investigación. 

En conclusión, para que el canal de denuncias de la empresa sea respetuoso con la protección de datos, es indispensable que el mismo cuente con una política de privacidad donde se garanticen todos los principios que se han desarrollado anteriormente. 

Protección de datos de denuncias de mala fe

La nueva Directiva UE 2019/1937 a la que hacíamos referencia al comienzo de este artículo hace mención en su artículo 6, a las condiciones de protección de los denunciantes, estableciendo que “tendrán protección aquellos que tengan motivos fundados para pensar que la infracción denunciada es veraz en el momento de la denuncia”, por tanto, cabe pensar que, todos aquellos denunciantes que comuniquen hechos falsos, generando un perjuicio a otro trabajador, no serán protegidos por las medidas que hemos enunciado anteriormente, tanto es así, que el art. 23 del mismo texto normativo establece la imposición de sanciones “efectivas, proporcionadas y disuasorias” a aquellos que denuncien sabiendo la falsedad de los hechos, cuya calificación deberá ser determinada por cada Estado Miembro, a las personas físicas o jurídicas, que: 

  • Impidan o intenten impedir las denuncias.
  • Adopten medidas de represalia contra las personas protegidas por la Directiva.
  • Promuevan procedimientos abusivos contra las personas protegidas por la Directiva.
  • Incumplan el deber de mantener la confidencialidad de la identidad de los denunciantes.

Es en relación a este último punto, donde adquiere protagonismo el derecho de protección de datos, y prueba de ello es que el  SEPD, afirma que la identidad del denunciante no debe revelarse nunca, salvo en determinadas circunstancias excepcionales, entre las que se pueden destacar, aquellas situaciones donde se realiza una declaración maliciosa, pudiendo comunicar dicha identidad sólo a las autoridades judiciales. 

Por todas las razones expuestas, es extraordinariamente importante cumplir con el RGPD y contar en la empresa con una política de privacidad de calidad que detalle todas estas cuestiones, ya que, sólo así se evitarán riesgos reputacionales y elevadas sanciones económicas.

No Comments

Post a Comment

Ir al contenido