Denuncia mediante canales de denuncia interna y protección de datos

NOVEDADES

- Ley 2/2023, de 20 de febrero. El título VI regula el régimen del tratamiento de datos personales que deriven de los canales de denuncia habilitados. Desde el 01/12/2023, el establecimiento de canales de denuncia interna será obligatorio para todas las entidades, públicas y privadas, que cuenten con más de 50 personas trabajadoras en plantilla. 

Denuncia interna y protección de datos personales: LOPDGDD y Ley 2/2023 

Tanto para los procedimientos de denuncia interna como externa que posteriormente analizaremos, la Directiva 2019/1937 fija tres aspectos en común: Deber de confidencialidad (art. 16 de la Directiva (UE) 2019/1937), tratamiento de datos (art. 17 de la Directiva (UE) 2019/1937) y registro de las denuncias (art. 18 Directiva (UE) 2019/1937). Estos mismos principios son seguidos por la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

A TENER EN CUENTA. Cualquier canal de denuncias implantado en la empresa ha de cumplir los requisitos establecidos en la LOPDGDD y en el título VI de la Ley 2/2023, de 20 de febrero para ser lícito.

El establecimiento de sistemas internos de denuncias o de whistleblowing, configurados a través de la creación de buzones internos mediante los cuales los empleados de la compañía, generalmente por un procedimiento on line, ponen de manifiesto la existencia de conductas contrarias a la Ley o a las normas internas de conducta de la empresa, entraña el tratamiento y la protección de datos, pero para ello es necesario que se adecúen a los principios establecidos en la normativa (STSJ Canarias n.º 552/2016, de 22 de junio de 2016, ECLI:ES:TSJICAN:2016:2117). 

Estos tratamientos necesarios de los datos se regirán por lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y en la citada Ley 2/2023, de 20 de febrero y se entenderán necesarios (lícitos) para el cumplimiento de una obligación legal cuando deban llevarse a cabo en los supuestos en que sea obligatorio disponer de un sistema interno de información y en los casos de canales de comunicación externos, mientras que se presumirán válidos al amparo de lo que establece el art. 6.1.e) del RGPD cuando aquel sistema no sea obligatorio o el tratamiento se lleve a cabo en el ámbito de la revelación pública que regula el título V de la Ley 2/2023, de 20 de febrero. 

A TENER EN CUENTA. Hasta el 13/03/2023, el artículo 24 de la LOPDGDD regulaba la creación y mantenimiento de sistemas de información internos. El contenido de dicho precepto se ha incorporado a la Ley 2/2023, de 20 de febrero, pero era necesario completar las previsiones hasta ahora incluidas en la ley orgánica al objeto de extenderlas también a los tratamientos de datos que se lleven a cabo en los canales de comunicación externos y en los supuestos de revelación pública. 

A lo anterior hemos de adicionar el Dictamen 1/2006 del GT29 sobre la aplicación de las normas de la UE relativas a la protección de datos a programas internos de denuncia de irregularidades, donde esta posibilidad se extiende a los campos de la contabilidad, controles contables internos, asuntos de auditoría, lucha contra el soborno, delitos bancarios y financieros. En este punto, el GT29 es consciente de que «los programas de denuncias de irregularidades plantean dificultades específicas en algunos países de la Unión Europea en relación con aspectos del derecho laboral, y de que el trabajo continúa en estas cuestiones y requerirá mayor atención».

Atendiendo a la normativa en LOPD y a Ley 2/2023, de 20 de febrero, en relación con las denuncias presentadas a través de los sistemas de whistleblowing, podemos concretar:

- Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información.

- El acceso a los datos contenidos en estos sistemas quedará limitado «exclusivamente» a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. No obstante, será lícito su acceso por otras personas en los siguientes casos: 

a) Cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales.

b) Cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos.

- Debería partirse del establecimiento de un procedimiento que garantice el tratamiento confidencial.

- Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.

- Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados. Transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica.

- Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPDGDD, «salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada». (Guía La protección de datos en las relaciones laborales de la AEPD (mayo 2021)).

CUESTIONES

1. ¿Qué medidas pueden adoptarse para garantizar el correcto tratamiento de los datos obtenidos por el canal de denuncias?

A modo de ejemplo pueden adoptarse medidas como: 1) limitar el acceso al contenido de las denuncias a los usuarios que lleven a cabo la investigación y relacionarlos en el documento de seguridad; 2) establecer un sistema de registro de accesos, aun cuando no corresponda aplicar las medidas de nivel alto; 3) firma de compromisos reforzados de confidencialidad con los usuarios autorizados, con especiales medidas disuasorias para el caso de vulnerarse el deber de secreto.

SENTENCIA RELEVANTE

STC n.º 146/2019, de 25 de noviembre de 2019, ECLI:ES:TC:2019:146

El Tribunal Constitucional declara nulo el despido de un enfermero de un centro de día para personas dependientes que se quejó ante el Ayuntamiento de deficiencias en su empresa (adjudicataria de la gestión de la residencia). Para el TC se trata de una «injustificada limitación» de su derecho a la libertad de expresión, en la medida en que condicionó su ejercicio a que las críticas del trabajador respecto a su empresa tuvieran como único y posible receptor la mercantil.

El TC entiende que la conducta del trabajador «(...) se desarrolló en todo momento dentro de los márgenes que delimitan el legítimo ejercicio de su derecho fundamental a la libertad de expresión reconocido en el art. 20.1 a) CE, tanto en lo que se refiere a los límites genéricos, como a los específicos derivados del vínculo contractual», por lo que para el intérprete de la Constitución la interpretación del derecho fundamental realizada por la sentencia recurrida, al haber exigido que la crítica realizada no trascendiera más allá de la empresa, despojó al trabajador de la libertad de expresión que le reconoce el art. 20.1. a) de la CE, haciendo que tal derecho cediera ante un deber de lealtad entendido en términos absolutos de «sujeción indiferenciada del trabajador al interés empresarial» que no se ajusta al sistema constitucional de relaciones laborales.

Tratamiento de datos y confidencialidad

La complejidad de la gestión de la información obtenida por estos canales quedó reflejada en el Informe Jurídico 128/2007 de la Agencia Española de Protección de Datos (AEPD).

Todo tratamiento de datos personales realizado sobre la información contenida en una denuncia de este tipo se considerarán lícitos según lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), en la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, y en el título VI de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

No se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una denuncia específica o, si se recopilan por accidente, se eliminarán sin dilación indebida.

La Ley 2/2023, de 20 de febrero, concreta:

-  La normativa por la que se considerará lícito el tratamiento de datos personales diferenciando entre supuestos de canales de comunicación interna, externa, revelación pública o categorías especiales de datos personales por razones de un interés público esencial (art. 30 de la Ley 2/2023, de 20 de febrero).

- La información que se debe aportar sobre protección de datos personales y ejercicio de derechos a los interesados (art. 31 de la Ley 2/2023, de 20 de febrero).

- El tratamiento de datos personales dentro del sistema interno de información (art. 32 de la Ley 2/2023, de 20 de febrero).

- La posibilidad de que los interesados ejerzan los derechos a que se refieren los artículos 15 a 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (art. 31 de la Ley 2/2023, de 20 de febrero).

- Las medidas necesarias para la preservación de la identidad del informante y de las personas afectadas (art. 33 de la Ley 2/2023, de 20 de febrero).

La Guía «La protección de datos en las relaciones laborales» de la AEPD (mayo 2021) desarrolla algunos aspectos de interés:

• Si los datos contenidos en los sistemas de denuncias fueran a ser transmitidos a una tercera compañía que investigue el hecho denunciado se producirá una comunicación de datos, de la que el afectado, tanto el denunciante como el denunciado, deberá ser debidamente informado. Esta misma información deberá referirse, en su caso, a la posible transferencia internacional de datos a otras empresas del grupo.
• En todo caso deberá garantizarse los derechos de acceso, rectificación, supresión (borrado) y oposición del denunciado, sin que ello implique revelar la identidad del denunciante. En todo caso, el denunciado debería poder conocer en el menor tiempo posible el hecho que se le imputa a fin de poder defender debidamente sus intereses.

Registro de las denuncias y conservación de datos

Por mandato europeo, y en cumplimiento de los requisitos de confidencialidad, los estados miembros velarán por que las entidades jurídicas de los sectores privado y público y las autoridades competentes lleven un registro de todas las denuncias recibidas. Las denuncias se conservarán únicamente durante el período que sea necesario y proporcionado a efectos de cumplir con sus fines. 

El tratamiento de datos personales dentro del sistema interno de información (art. 32 de la Ley 2/2023, de 20 de febrero) debe seguir las siguientes premisas:

«1. El acceso a los datos personales contenidos en el Sistema interno de información quedará limitado, dentro del ámbito de sus competencias y funciones, exclusivamente a:

a) El Responsable del Sistema y a quien lo gestione directamente.

b) El responsable de recursos humanos o el órgano competente debidamente designado, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador. En el caso de los empleados públicos, el órgano competente para la tramitación del mismo.

c) El responsable de los servicios jurídicos de la entidad u organismo, si procediera la adopción de medidas legales en relación con los hechos relatados en la comunicación.

d) Los encargados del tratamiento que eventualmente se designen.

e) El delegado de protección de datos.

2. Será lícito el tratamiento de los datos por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.

En ningún caso serán objeto de tratamiento los datos personales que no sean necesarios para el conocimiento e investigación de las acciones u omisiones a las que se refiere el artículo 2, procediéndose, en su caso, a su inmediata supresión. Asimismo, se suprimirán todos aquellos datos personales que se puedan haber comunicado y que se refieran a conductas que no estén incluidas en el ámbito de aplicación de la ley.

Si la información recibida contuviera datos personales incluidos dentro de las categorías especiales de datos, se procederá a su inmediata supresión, sin que se proceda al registro y tratamiento de los mismos.

3. Los datos que sean objeto de tratamiento podrán conservarse en el sistema de informaciones únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados.

Si se acreditara que la información facilitada o parte de ella no es veraz, deberá procederse a su inmediata supresión desde el momento en que se tenga constancia de dicha circunstancia, salvo que dicha falta de veracidad pueda constituir un ilícito penal, en cuyo caso se guardará la información por el tiempo necesario durante el que se tramite el procedimiento judicial.

4. En todo caso, transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre.

5. Los empleados y terceros deberán ser informados acerca del tratamiento de datos personales en el marco de los Sistemas de información a que se refiere el presente artículo».

Este punto ha sido ratificado por en la Guía «La protección de datos en las relaciones laborales» de la AEPD (mayo 2021): «(...) la conservación del dato debe limitarse al tiempo necesario para la investigación de los hechos y, sólo en caso de que de aquélla se desprenda la adopción de determinadas medidas contra el denunciado, sería posible conservar los datos por un plazo superior, debiendo eliminarse en caso contrario».

En lo referente al registro de denuncias, la Directiva whistleblowing concreta algunos aspectos de interés sobre el canal utilizado:

a) Cuando para la denuncia se utilice una línea telefónica u otro sistema de mensajería de voz con grabación, a reserva del consentimiento del denunciante, las entidades jurídicas de los sectores privado y público y las autoridades competentes tendrán derecho a documentar la denuncia verbal de una de las maneras siguientes:

• Mediante una grabación de la conversación en un formato duradero y accesible.
• A través de una transcripción completa y exacta de la conversación realizada por el personal responsable de tratar la denuncia.

Las entidades jurídicas de los sectores privado y público y las autoridades competentes ofrecerán al denunciante la oportunidad de comprobar, rectificar y aceptar mediante su firma la transcripción de la llamada.

b) En los casos en que para la denuncia se utilice una línea telefónica u otro sistema de mensajería de voz sin grabación, las entidades jurídicas de los sectores privado y público y las autoridades competentes tendrán derecho a documentar la denuncia verbal en forma de acta pormenorizada de la conversación escrita por el personal responsable de tratar la denuncia. Las entidades jurídicas de los sectores privado y público y las autoridades competentes ofrecerán al denunciante la oportunidad de comprobar, rectificar y aceptar mediante su firma el acta de la conversación.

c) Cuando una persona solicite una reunión con el personal de las entidades jurídicas de los sectores privado y público o de las autoridades competentes con la finalidad de denunciar (arts. 9.2 y 12.2 Directiva (UE) 2019/1937), las entidades jurídicas de los sectores privado y público y las autoridades competentes garantizarán, a reserva del consentimiento del denunciante, que se conserven registros completos y exactos de la reunión en un formato duradero y accesible.

Las entidades jurídicas de los sectores privado y público y las autoridades competentes tendrán derecho a documentar la reunión de una de las maneras siguientes:

• Mediante una grabación de la conversación en un formato duradero y accesible, o,
• A través de un acta pormenorizada de la reunión preparada por el personal responsable de tratar la denuncia.

Las entidades jurídicas de los sectores privado y público y las autoridades competentes ofrecerán al denunciante la oportunidad de comprobar, rectificar y aceptar mediante su firma el acta de la reunión.

CUESTIONES

1. ¿Cuál es el plazo de conservación de los datos personales asociados a una denuncia interna?

Como hemos analizado, los datos se conservarán «únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados». En todo caso, transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre.

2. ¿Qué medidas deben seguirse para la preservación de la identidad del informante y de las personas afectadas? ¿En algún caso será revelada la identidad del informante?

Quien presente una comunicación o lleve a cabo una revelación pública tiene derecho a que su identidad no sea revelada a terceras personas. Por ello los sistemas internos de información (al igual que los canales externos o quienes reciban revelaciones públicas) no obtendrán datos que permitan la identificación del informante y deberán contar con medidas técnicas y organizativas adecuadas para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas y a cualquier tercero que se mencione en la información suministrada, especialmente la identidad del informante en caso de que se hubiera identificado.

La identidad del informante solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora.

Las revelaciones hechas en virtud de este apartado estarán sujetas a salvaguardas establecidas en la normativa aplicable. En particular, se trasladará al informante antes de revelar su identidad, salvo que dicha información pudiera comprometer la investigación o el procedimiento judicial. Cuando la autoridad competente lo comunique al informante, le remitirá un escrito explicando los motivos de la revelación de los datos confidenciales en cuestión.