05 Dec Compliance y nueva LOPD: vía libre a las denuncias anónimas dentro de la empresa
Hace pocos días se aprobó definitivamente la nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), una norma que, además de muchísimas novedades en materia de protección de datos que hemos comentado en otras ocasiones, también trae de la mano algún precepto importante en cuanto a compliance o cumplimiento normativo en las empresas. Las denuncias anónimas dentro de la empresa, en contra del criterio que se venía manteniendo, serán posibles con la nueva LOPD.
Te animamos a contactarnos si tienes cualquier duda o necesitas un plan de cumplimiento normativo a medida para tu empresa, sea cual sea su tamaño.
El nuevo artículo 24: denuncias anónimas en el seno de la empresa
Los datos personales, en plena era digital, se han convertido en un bien muy preciado para las empresas y, por tanto, su tratamiento es cada vez más estricto. A esta realidad responde la nueva regulación, que comenzará a aplicarse próximamente, y ello toca también el tratamiento de estos datos que deben llevar a cabo las sociedades. De entre los muchos puntos que toca la nueva LOPD en este sentido, cabe destacar uno que afecta especialmente en materia de compliance: el artículo 24 de la norma norma fija lo siguiente:
“Artículo 24. Sistemas de información de denuncias internas.
1. Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información.
2. El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. No obstante, será lícito su acceso por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan.
Sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos.
3. Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.
4. Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.
En todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de esta ley orgánica.
Transcurrido el plazo mencionado en el párrafo anterior, los datos podrán seguir siendo tratados, por el órgano al que corresponda, conforme al apartado 2 de este artículo, la investigación de los hechos denunciados, no conservándose en el propio sistema de información de denuncias internas.
5. Los principios de los apartados anteriores serán aplicables a los sistemas de denuncias internas que pudieran crearse en las administraciones públicas”.
Denuncias anónimas: una nueva posibilidad en compliance
Con esta reforma, las denuncias que se presenten a través de los canales internos de denuncia (o mecanismos de whistleblowing) que deben implantar las compañías, podrán ser anónimas. Y eso es algo de lo que se venía hablando desde hace bastantes meses: el primer borrador de esta norma ya recogía esta previsión, que ya cuenta con el ‘visto bueno’ del Congreso y del Senado.
Así, la cuestión era si podía considerarse admisible el anonimato en la denuncia -o lo que es lo mismo, que la persona que la presentara no tuviera por qué identificarse-, o si cabía admitir únicamente la confidencialidad de estos datos -esto es, que el denunciante tuviera que identificarse pero que esta información fuera de acceso reservado-. Finalmente, se ha optado por lo segundo. Y ello tiene implicaciones: esta postura permite que más personas se animen a denunciar, al gozar de una mayor protección en caso de que se lleve a cabo un procedimiento contra la persona denunciada.
Se fortalecen así las posibilidades de éxito del sistema de compliance en la empresa, aunque cabe señalar que la denuncia anónima libera de una importante carga a quien la lleve a cabo, abriéndose la puerta a denuncias falsas o inexactas, venganzas, y demás malas prácticas que no podrán perseguirse, dada la inexistencia de datos acerca del autor.
¿Qué dice la AEPD?
El artículo 31 bis del Código Penal, que regula la responsabilidad penal de las personas jurídicas, habla acerca de los canales de denuncia y considera que éstos son un requisito fundamental para apreciar la eficacia de los sistemas de compliance. Por tanto, exige a las organizaciones que impongan “la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención”.
La polémica en relación con la posibilidad de que las denuncias sean anónimas proviene del Informe Jurídico 128/2007 de la Agencia de Protección de Datos que, tras analizar la creación de los sistemas de denuncias internas, afirmó que lo que debería garantizarse es “el tratamiento confidencial de las denuncias presentadas […] de forma que se evite la existencia de denuncias anónimas, garantizándose la exactitud e integridad de la información contenida en dichos sistemas”.
Sin embargo, posteriormente la propia Agencia ha modificado su criterio y, en su análisis de la nueva LOPD, aseguró lo siguiente:
“Frente al criterio tradicionalmente sostenido por esta Agencia Española de Protección de Datos, en que se propugnaba el carácter confidencial y no anónimo de estos sistemas, se establece la posibilidad de que las denuncias sean comunicadas al sistema “incluso anónimamente”. Esta previsión, no obstante, trae causa de la fundamentación jurídica de dichos sistemas, que acaba de ser descrita, por cuanto su existencia resulta vital para la posible exención de la responsabilidad penal de la persona jurídica. Por este motivo, y aun considerándose excepcional la inclusión de estos datos, cabe concluir, de conformidad con lo señalado en la Circular 1/2016 de la Fiscalía General del Estado, que estos sistemas podrán tener el mencionado carácter”.
Con la nueva norma se zanja el debate -aunque sigan existiendo opiniones encontradas- y ello obligará a que las denuncias anónimas, hasta ahora normalmente rechazadas, pasen a tener que valorarse y seguir el cauce establecido.