CANALES DE DENUNCIA Y PROTECCIÓN DE DATOS. EL DENUNCIANTE ANÓNIMO.
Hace tiempo, José Luis Colom publicaba un artículo en nuestro blog sobre el canal de denuncias en las organizaciones. En el mismo se hacía referencia a los canales de denuncia como parte de las condiciones que los modelos de organización y gestión de prevención de delitos deben cumplir, según lo dispuesto en la condición 4ª del artículo 31.5 bis de nuestro Código Penal y que permite que la persona jurídica quede exenta de responsabilidad.
A pesar de que no podemos estar más de acuerdo con José Luis Colom con las ventajas y garantías que aporta un canal de delación externalizado, a las que nos remitimos, lo cierto es que el debate al que hace referencia sobre la aceptación o no de las denuncias anónimas en estos canales de denuncias, propiciado a raíz del Informe Jurídico 128/2007 de la Agencia Española de Protección de Datos ha quedado obsoleto. En este informe afirmaba que «Por ello, a fin de garantizar el cumplimiento del mencionado principio [derecho de acceso] deberá exigirse que el sistema únicamente acepte la inclusión de denuncias en que aparezca identificado el denunciante, sin perjuicio de las salvaguardas que se han señalado para garantizar la confidencialidad de sus datos de carácter personal, no bastando el establecimiento de un primer filtro de confidencialidad y una posible alegación última del anonimato para el funcionamiento del sistema». El legislador ha avanzado en este aspecto con la aprobación de dos leyes el pasado 2018 en nuestro país: el Real Decreto-ley 11/2018, de 31 de agosto, de transposición de directivas en materia de protección de los compromisos por pensiones con los trabajadores, prevención del blanqueo de capitales y requisitos de entrada y residencia de nacionales de países terceros y por el que se modifica la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Estos sistemas de información de denuncia de infracciones suponen una vía enormemente útil para detectar conductas ilícitas en el seno de las organizaciones. Sin embargo, son pocas las personas que se atreven a usar los mismos por temor a represalias. Parece, por tanto, una interesante apuesta el cambio legislativo señalado que, en ambos casos, permite las denominadas denuncias anónimas.
La última modificación de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo ha incluido en la misma el artículo 26 bis sobre los procedimientos internos de comunicación de potenciales incumplimientos, por el que establece que los sujetos obligados (se pueden consultar los mismos en el artículo 2 de la ley) deben establecer procedimientos internos para que sus empleados, directivos o agentes puedan comunicar, incluso anónimamente, información relevante sobre posibles incumplimientos de esta ley, su normativa de desarrollo o las políticas y procedimientos implantados para darles cumplimiento, cometidos en el seno del sujeto obligado.
El mencionado artículo, indica que estos procedimientos internos de comunicación podrán integrarse en los sistemas que hubiera podido establecer el sujeto obligado para la comunicación de informaciones relativas a la comisión de actos o conductas que pudieran resultar contrarios a la restante normativa general o sectorial que les fuere aplicable. Como no podía ser de otra forma, el legislador apuesta por la integración de los canales relativos a la prevención del blanqueo de capitales con otros que pudieran existir en la organización, como pudiera ser el canal de prevención de delitos o un sistema de denuncias de acoso laboral. Indudablemente, la legislación a la que deben adaptarse las empresas va adquiriendo, cada vez más, un cariz integrador, que aproveche las sinergias y que nos permita acercarnos a un marco de compliance integrado y transversal.
Continúa la norma indicando que estos sistemas y procedimientos deberán cumplir con lo dispuesto en la normativa de protección de datos de carácter personal para los sistemas de información de denuncias internas y conmina a los sujetos obligados a adoptar medidas para garantizar que los empleados, directivos o agentes que informen de las infracciones cometidas en la entidad sean protegidos frente a represalias, discriminaciones y cualquier otro tipo de trato injusto. Será clave en este sentido mantener la confidencialidad de aquellos denunciantes que se hayan identificado o de aquellos que, aunque hayan efectuado una denuncia anónima, pueda deducirse su identidad.
Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales ha regulado en su artículo 24 los que ha denominado como sistemas de información de denuncias internas, lo aquí indicado será aplicable a los sistemas de denuncias internas de las entidades de Derecho privado, pero también de aquellas que pudieran crearse en las Administraciones Públicas.
Al respecto indica que será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento del responsable del tratamiento, incluso anónimamente, la comisión en el seno de éste o en la actuación de terceros que contratasen con él, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Cabe señalar que el Preámbulo de la ley señala sobre este tratamiento de datos personales que «la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del Reglamento (UE) 2016/679». Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información.
Continúa el mencionado artículo 24 limitando el acceso a los datos contenidos en estos sistemas a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. A nuestro juicio, la norma parece apostar por la externalización de estos sistemas, ya que específicamente menciona a los encargados de tratamiento. Volvemos a remitirnos al artículo del compañero José Luis Colom al hablar de los beneficios de la externalización de los canales de denuncias.
Igualmente indica que, será lícito el acceso por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan, sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo.
Además, indica que solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos. Entendemos que esto será así siempre y cuando este personal vinculado a la administración de personal de la entidad no forme parte de la función de compliance.
Una de las obligaciones que se impone al responsable del tratamiento de los sistemas de información de denuncias internas es la de adoptar las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.
Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.
Sobre el plazo de conservación, indica que, en todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPDGDD. Transcurridos tres meses, los datos podrán seguir siendo tratados, por el órgano correspondiente, para la investigación de los hechos denunciados, no conservándose en el propio sistema de información de denuncias internas.
Los canales de denuncia son regulados igualmente en la Norma ISO 19600:2014 sobre Sistemas de gestión de compliance, que establece entre las responsabilidades de la función de compliance (cláusula 5.3.4.f) la de desarrollar e implementar procesos para gestionar la información, tales como las reclamaciones y/o comentarios recibidos de líneas directas, un canal de denuncias anónimas u otros mecanismos. En cuanto a los métodos de recogida de información (cláusula 9.1.4), incluye como ejemplo de los mismos, los canales de denuncia, indicando que cada método deberá ser configurado teniendo en cuenta el tamaño, la escala, naturaleza y complejidad de la organización. En cuanto a la comunicación interna del sistema de compliance, la norma indica que se debe indicar claramente cuáles son las expectativas de la organización sobre los empleados y cuáles son los incumplimientos que se espera que sean escalados, en qué circunstancias y a quién. Sobre el escalado de información, la norma afirma rotundamente que «Un sistema de gestión de compliance eficaz debería incluir un mecanismo para que los empleados de la organización y/u otras personas informen sobre malas prácticas reales o sospechosas, o sobre violaciones de las obligaciones de compliance de la organización, de forma confidencial y sin temor a represalias».
Por su parte la Norma ISO 19601:2017 sobre Sistemas de gestión de compliance penal, entre los requisitos con orientación para su uso, destaca entre las responsabilidades del órgano de compliance conjuntamente con la dirección (cláusula 5.1.2.a.5) la de adoptar e implementar procesos para gestionar la información, tales como las reclamaciones y/o comentarios recibidos de líneas directas, un canal de denuncias u otros mecanismos. Igualmente señala que la alta dirección debe demostrar liderazgo y compromiso con respecto al sistema de gestión de compliance penal de la organización y para ello, en el ejercicio de sus funciones ejecutivas debe fomentar el uso de procedimientos para la puesta en conocimiento de conductas potencialmente delictivas que puedan afectar a la organización y sus actividades (cláusula 5.1.3.h). Además, establece la obligación del órgano de gobierno de impulsar y aprobar una política de compliance penal que imponga la obligación de informar sobre hechos o conductas sospechosas relativas a riesgos penales, garantizando que el informante no sufrirá represalias (cláusula 5.2.h). Finalmente, establece el requisito de implantar procedimientos adecuados para (cláusula 8.7): facilitar canales de comunicación para que tanto los miembros de la organización como terceros comuniquen de buena fe y, sobre la base de indicios razonables, aquellas circunstancias que puedan suponer la materialización de un riesgo penal para la organización, así como incumplimientos o debilidades del sistema de gestión de compliance penal; garantizar la confidencialidad o el anonimato de la identidad de las personas que hagan uso de dichos canales de comunicación; permitir la realización de comunicaciones de manera anónima o confidencial; prohibir cualquier tipo de represalia, tomando las medidas necesarias para proteger a aquellos miembros de la organización o terceros que realicen comunicaciones de buena fe y, sobre la base de indicios razonables, a través de dichos canales de comunicación; facilitar asesoramiento a aquellas personas que planteen dudas o inquietudes relacionadas a través de los canales de comunicación establecidos por la organización; garantizar que los miembros de la organización conocen los canales de comunicación existentes y los procedimientos que regulan su funcionamiento; y fomentar el uso de los canales de comunicación entre los miembros de la organización.
Las obligaciones de informar deben establecerse de forma clara en la política de compliance penal y procedimientos derivados del sistema de gestión de compliance penal de la organización y reforzarse por otros medios, tales como refuerzos informales de la dirección durante su trabajo del día a día con el personal.
Debemos señalar que el Parlamento Europeo aprobó el pasado 16 de abril una nueva normativa de protección de delatores, cuyo objeto es explotar plenamente el potencial de protección de quienes denuncian infracciones, paliando las asimetrías existentes en las diferentes legislaciones europeas. Esta norma, que aún debe ser respaldada por los ministros de los países de la UE, y transpuesta a los ordenamientos internos, permitirá que las denuncias se lleven a cabo internamente, ante la autoridad legal competente, o directamente ante las autoridades nacionales o las instituciones, cuerpos, oficinas u agencias de la UE competentes. Igualmente, en el caso de que no se tomen las medidas pertinentes ante la denuncia inicial de los delatores, o si éstos consideran que se puede causar un daño inminente a las personas interesadas o que hay riesgo de represalias, el delator también gozará de protección si decide denunciar las infracciones públicamente.
En definitiva, parece claro que, la posibilidad de las denuncias anónimas en el seno de la empresa ha llegado para quedarse y que, sólo garantizando la confidencialidad de los denunciantes mediante un tratamiento adecuado de los datos personales de éstos y protegiéndolos de posibles represalias, unido a una comunicación interna clara sobre qué hechos deben denunciarse, se conseguirá avanzar en la cultura de cumplimiento de la empresa, avanzando en la eficacia de los mismos.
Verónica Gutiérrez
Consultora / Advisor senior en @govertis
BIBLIOGRAFÍA
José Luis, 2016. El canal de denuncias en las organizaciones. En: Blog. Govertis Advisory Services [en línea]. Disponible en: https://www.govertis.com/el-canal-de-denuncias-en-las-organizaciones [consulta:25/04/2019].
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOE núm.294, de 6 de diciembre de 2018).
Propuesta de DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (aprobada el 23 de abril de 2018).
Real Decreto-ley 11/2018, de 31 de agosto, de transposición de directivas en materia de protección de los compromisos por pensiones con los trabajadores, prevención del blanqueo de capitales y requisitos de entrada y residencia de nacionales de países terceros y por el que se modifica la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (BOE núm.214, de 4 de septiembre de 2018).
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
