Sistemas de información de denuncias internas y protección de datos

Delegado de protección de datos > El Blog del DPD/DPO > GDPR Legal > Sistemas de información de denuncias internas y protección de datos

Sistemas de información de denuncias internas

Sistemas de información de denuncias internas y protección de datos

21 noviembre, 2019 | GDPR Legal

El establecimiento de canales de denuncia internos es cada vez más común en las empresas. La proliferación de estos se justifica, principalmente, en que uno de los requisitos que el Código Penal español establece a los sistemas de Compliance para permitir que la persona jurídica quede exenta de responsabilidad penal es el de imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. Sin duda, el numero de estos sistemas aumentará considerablemente en el momento en que se transponga la Directiva ‘whistleblowing’, la cual generaliza la implantación de canales internos de denuncia y exige su creación tanto a las autoridades de cada país como a todas las empresas con más de 50 trabajadores, sean públicas o privadas.

Estos canales de denuncia tienen relevancia en materia de protección de datos, en cuanto van a tratar datos sensibles y/o que podrían tener un alto impacto en los interesados. A este respecto, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, los ha tenido en cuenta, regulando los siguientes aspectos sobre estos:

a) Causas de licitud

El PREÁMBULO establece que en los sistemas de denuncias internas la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del Reglamento (UE) 2016/679.

Por su parte, el artículo 24 establece la licitud de la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable.

b) Deber de información.

Se establece la obligatoriedad de informar a los empleados y terceros sobre la existencia de estos sistemas de información.

c) ¿Quién puede acceder a la información contenida en los sistemas de información de denuncias internas?

El acceso a la información a los datos de estos sistemas de denuncia se debe limitar a quienes, independientemente de si forman o no parte de la entidad, desarrollen las funciones de control interno y de cumplimiento o a los encargados del tratamiento que eventualmente se designen a tal efecto.

También será lícito el acceso por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan.

En el caso de que pudiera proceder la adopción de medidas disciplinarias contra un trabajador, se permitirá acceder a esta información al personal con funciones de gestión y control de recursos humanos.

d) Cesiones de datos

Los datos obtenidos a través del sistema de denuncias internas podrán ser comunicados a la autoridad competente de hechos constitutivos de ilícito penal o administrativo.

e) Medidas de seguridad

Deben adoptarse las medidas de seguridad necesarias que permitan preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado. Como vemos, la norma autoriza las denuncias anónimas.

f) Plazo de conservación

Los datos del denunciante y de los empleados y terceros a los que afecte la denuncia se deben conservar en el sistema de denuncias exclusivamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.

En cualquier caso, transcurridos 3 meses desde la introducción de los datos se deben suprimir los datos del sistema de denuncias, salvo que se quieran conservar como evidencia del funcionamiento del Sistema de Gestión de Compliance Penal.

Los datos podrán seguir siendo tratados, por el órgano competente, para investigar los hechos denunciados, no conservándose en el sistema de información de denuncias internas.

Estas premisas son igualmente aplicables a los sistemas de denuncias internas que pudieran crearse en las Administraciones Públicas.

 

El Equipo Govertis 

Logotipo de Govertis