Queda poco más de un mes para que expire el plazo que estableció la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, para su trasposición al derecho nacional de los estados miembros.
En concreto, el día 17 de diciembre de 2021 deberíamos contar con una ley nacional que obligue a la implementación dun canal de denuncias y proteja a las personas que informen sobre infracciones a través de este (whistleblowers, en su término en inglés).
El objetivo de esta normativa no es otro que obligar a las entidades – públicas y privadas – a establecer una vía para que cualquier persona pueda avisar de la posible comisión de un delito por parte de la entidad o de algún miembro de la misma y dar cumplimento así a una de las obligaciones recogidas en nuestro Código Penal al regular la responsabilidad penal de las personas jurídicas (ex art.31bis.5.4º). Además, se pretende otorgar una protección efectiva a los denunciantes (y común a todos los estados miembros) para que, por ende, el canal de denuncias resulte igualmente efectivo.
Actualmente el Ministerio de Justicia está trabajando en el anteproyecto por lo que parece complicado que se cumpla con el plazo otorgado, si bien las organizaciones deberían ir teniendo en cuenta algunas cuestiones para estar preparados ante su entrada en vigor.
Más allá del calado que pueda tener la trasposición de esta Directiva en los mapas de riesgo de compliance, es importante destacar que la misma tiene también incidencia desde el punto de vista de la protección de datos en una doble vertiente.
(i) Por un lado, desde la perspectiva del ámbito de aplicación material, porque una de las materias sobre las que pueden versar las denuncias es la correcta protección de la privacidad y de los datos personales, y la seguridad de las redes y los sistemas de información (ex art.2.1.x Directiva canal de denuncias).
(ii) Por otro lado, desde una perspectiva subjetiva, porque debe protegerse no solo la información facilitada en las denuncias, sino también a quien las realiza.
Por lo tanto, las organizaciones deberían prever la existencia de este canal no solo desde el punto de vista de su plan de compliance, sino también desde el punto de vista del plan de protección de datos con un doble objetivo:
(i) Minimizar los riesgos de denuncias por incumplimiento de la normativa o del funcionamiento de las medidas de seguridad implementadas y, por tanto, de una posible sanción.
(ii) Incluir en el correspondiente Registro de Actividades del Tratamiento, el realizado por la gestión del canal de denuncias, identificando: la finalidad del tratamiento; la base de legitimación; los destinatarios de los datos; la posible existencia de transferencias internacionales de datos; las medidas de seguridad implementadas; el periodo de conservación de los datos; el análisis de riesgos sobre dicho tratamiento y, en definitiva, tener en cuenta este tratamiento como uno más dentro del mapa y control de la política de privacidad de las organizaciones.
Tal es la intersección entre el canal de denuncias y la protección de datos, que ya nuestra Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, prevé en su art.34 cómo realizar un correcto tratamiento de los datos en los sistemas de información de denuncias internas.
Sirvan los siguientes comentarios como ideas para implementarlo de manera correcta desde el punto de vista de la protección de datos:
- Deberá informarse de su existencia a empleados y terceros. Recordemos que no solo podrán denunciar los empleados, aunque estos sean, en su mayoría, los que primero tengan conocimiento de la existencia de una infracción, sino que el canal estará abierto a cualquier tercero que tenga relación con la organización (clientes, proveedores, etc.)
- El canal puede ser interno y gestionarse en la propia organización, o puede externalizarse.
- Solo tendrán acceso a la información de la denuncia las personas designadas por la entidad para llevar a cabo las funciones de control, ya sea de forma interna o externa, a través de los correspondientes contratos de encargo de tratamiento.
- Los datos podrán ser comunicados a terceros cuando sea necesario para la adopción de medidas disciplinarias o para la tramitación de procedimientos judiciales.
- Deberá preservarse la identidad y garantizar la confidencialidad de los datos tanto de las personas relacionadas con los hechos denunciados, como de las denunciantes. En este caso, en principio cabrían las denuncias anónimas, no obstante, la Directiva prevé supuestos en los que esto no será posible.
- Los datos se conservarán en el sistema de denuncias únicamente durante el tiempo necesario para decidir sobre el inicio de una investigación y nunca más de tres meses. En todo caso, una vez transcurrido ese plazo, y aunque la información desaparezca del canal de denuncias, la información podrá ser tratada por el órgano que corresponda.
Por lo tanto, y dada la inminente obligatoriedad de implantar un canal de denunciases importante tener en cuenta la normativa de protección de datos para que su diseño y funcionamiento sea acorde a uno de los principios que rigen el cumplimiento normativo en esta materia: privacy by design.
Si tienes alguna duda sobre como diseñar tu canal de denuncias, ponte en contacto con nosotros.