Entrada en vigor del Canal de Denuncias en España: para empresa y sector público, Beneficios, riesgos y claves para implantarlo y su cumplimiento con, La Ley de Protección de Datos Personales RGPD (UE) 2016/679.

Un canal de denuncias, es aquella herramienta que la empresa pone a disposición de los trabajadores, proveedores, o clientes, que permite alertar de manera confidencial sobre cualquier ilegalidad que se haya producido en la organización. Para que un canal de denuncias reúna todas las garantías que aseguren su eficacia, es necesario que todo el proceso cumpla con los requisitos que establece la normativa sobre Protección de Datos. En el artículo 24 de la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), se detalla la regulación de este sistema de denuncias interno.

Canal de denuncias en la Ley Orgánica de Protección de Datos (LOPDGDD)

Establece la LOPDGDD que es lícito crear y mantener un sistema de información a través del cual pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de esta o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa. En todo caso, los empleados y terceros deben ser informados acerca de la existencia de este canal de denuncias.

El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que se designen a tal efecto. También podrán acceder otras personas (por ejemplo, los abogados de la empresa), cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales.

Si hubiera que adoptar medidas disciplinarias contra un trabajador dentro de la propia empresa, se permitirá el acceso al departamento de recursos humanos o al personal con funciones de gestión. Es imprescindible que la empresa adopte las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.

Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados y una vez transcurridos tres meses desde la introducción de los datos de la denuncia, deberá procederse a su supresión del sistema. Con la excepción que permite conservarlos para dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. De este modo, la empresa puede eludir una responsabilidad penal que recaería sobre ella. Transcurrido este plazo, los datos podrán seguir siendo tratados por el órgano al que corresponda la investigación de los hechos denunciados, pero no podrán conservarse en el propio sistema de información de denuncias y aquellas denuncias a las que no se haya dado curso, solamente podrán constar de forma anonimizada.

­La Agencia Española de Protección de Datos y los canales de denuncia.

­En el año 2007 la Agencia Española de Protección de Datos (AEPD) emitió un informe (128/2007) relativo a la creación de sistemas de denuncias internas en las empresas presentadas a través de los sistemas de “whistleblowing”, en la que aconsejaba evitar la existencia de denuncias anónimas, garantizándose así la exactitud e integridad de la información contenida en dichos sistemas.

Pero, como hemos visto, este informe ha quedado superado por el artículo 24.1 de la LOPDGDD, que sí permite la denuncia anónima. A pesar de ello, es recomendable que el denunciante se identifique para proteger de manera real sus datos personales. De hecho, son las empresas las que deberían invitar a los denunciantes para que no utilicen el anonimato, y evitar de esta manera el abuso del canal y que la herramienta quede desvirtuada. Así lo aconseja el Supervisor Europeo de Protección de Datos (SEPD) que aboga por evitar el anonimato para obtener una efectiva protección del denunciante, y poder recabar más información sobre los hechos denunciados.

¿CUÁNDO DEBO TENER CREADO EL CANAL DE DENUNCIA?

Los empresarios españoles están obligados a incorporar la Directiva (UE) 2019/1937 a su legislación nacional con anterioridad a diciembre de 2021, por eso, las entidades públicas y privadas deberán comenzar a cumplir estos requisitos antes del 17 de diciembre de 2021, excepto las entidades del sector privado que tengan de 50 a 249 trabajadores que tienen de plazo hasta el 17 de diciembre de 2023.
Si tu empresa está obligada a contar con un canal de denuncias, desde Anisa Legal, te ofrecemos una adaptación eficiente que cumple con toda la normativa en materia de prevención de delitos, y que garantiza la Protección de Datos en todo caso.

Departamento de Consultoría