domingo, 9 de agosto de 2020

A vueltas con las denuncias anónimas

Fuente de la imagen: RyanMcGuire en pixabay
Desde el año 2010, he mantenido en este sitio la procedencia de estudiar las denuncias anónimas que lleguen vía el canal de denuncias de un corporate compliance. Cuestión en la que he ido a contracorriente de la mayor parte de la doctrina y, hasta hace poco, de la legislación española.  Y es que antes de la Ley Orgánica española 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)[1], tanto la anterior normativa como la posición de la Agencia Española de Protección de Datos (AEPD), eran reacios a aceptar las denuncias anónimas. La AEPD consideraba que las empresas no debían informar o promover denuncias anónimas. A más leña, el dictamen WP 117 de la Unión Europea (UE) estimaba que los informes anónimos planteaban un problema específico con respecto al requisito esencial de que los datos personales sólo deberían recopilarse de manera leal. 

Pues bien, en textos como “Nanai de la China[2], defendía el tratamiento de las denuncias anónimas dentro del canal de denuncias de un canal de cumplimiento normativo. Llegó la LOPDGDD configurando las denuncias internas en el contexto de la protección de datos, nuevo marco que referencié en el sitio Protección de Datos, texto “Sistemas de información de denuncias internas[3]. En el artículo 24[4], el legislador establece que será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información. 

Apunta el legislador que el acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. Igualmente, deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado. Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados. 

En todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista para el bloqueo de los datos[5]. Transcurrido los tres meses, los datos podrán seguir siendo tratados, por el órgano al que corresponda, conforme a lo legislado respecto a la limitación del acceso a los datos[6], la investigación de los hechos denunciados, no conservándose en el propio sistema de información de denuncias internas. Finalmente, todo lo anterior será aplicable a los sistemas de denuncias internas que pudieran crearse en las Administraciones Públicas. Fuente de la información: BOE y sitio Protección de Datos. Fuente de la imagen: RyanMcGuire en pixabay.
______________________________________
[1] Boletín Oficial del Estado (BOE) núm. 294 de 06/12/2018. 
[2] Velasco Carretero, Manuel. Nanai de la China. 2016. Sitio visitado el 12/01/2021. 
[3] Velasco Carretero, Manuel. Sistemas de información de denuncias internas. 2018. Sitio Protección de Datos.  Visitado el 12/01/2021. 
[4] Art. 24 LOPDGDD. 
[5] Art. 32 LOPDGDD. 
[6] Art. 24.2 LOPDGDD.