La privacidad del denunciante interno (whistleblower)
El denunciante interno, o whistleblower, es una figura sumamente importante para la investigación de delitos cometidos en el seno de una organización. Su protección y la de sus derechos es crítica para garantizar el funcionamiento del sistema. ¿En su organización ya cuentan con un canal de whistleblower, si no, aquí le contamos qué es y porqué debe implantarlo?.
La Ley Orgánica 5/2010 de reforma del Código Penal introdujo la responsabilidad penal de las personas jurídicas en nuestro ordenamiento jurídico, lo que significa que las empresas pueden ser castigadas con sanciones graves cuando no tomen medidas para prevenir la comisión de delitos.
Las sanciones (artículo 33.7 del Código Penal) van desde multas económicas hasta la suspensión de actividades, la clausura de establecimientos o hasta la disolución de la persona jurídica. Para evitar estas medidas penales, es crucial la implantación de programas de cumplimiento normativo (compliance) y su correcta ejecución.
Estos programas constituyen una buena práctica común en muchas de las grandes empresas y solicitada por muchos inversores que buscan reducir el riesgo en sus sociedades participadas. Un elemento clave e irremplazable de estos programas es el canal de denuncias interno (whistleblower).
¿Por qué es importante tener un buen canal de denuncias?
Un buen canal de denuncias es importante porque puede ayudar a prevenir y detectar los delitos y las irregularidades dentro de una organización. También ayuda a proteger a los denunciantes de las represalias que puedan sufrir por el mero hecho de reportar un acto delictivo.
Las empresas de más de 50 trabajadores estarán obligadas a implantar canales de denuncia de conformidad con la Directiva (EU) 2019/1937 (1). España todavía no ha incorporado esta Directiva en una Ley nacional, pero está obligada a hacerlo.
¿Qué requisitos debe cumplir un canal de denuncias?
Un canal de denuncias debe buscar otorgar a los denunciantes y empleados confianza, protección e imparcialidad. Asimismo, debe tener en cuenta los requisitos que exige la normativa de privacidad, pues todo dato personal que circule por este canal debe ser tratado de acuerdo con el Reglamento General de Protección de Datos (RGPD).
• Deber de información. Los trabajadores han de ser informados de la existencia del canal, de su funcionamiento y de su finalidad de manera específica.
• Base de legitimación. Las bases más habituales son: el cumplimiento de una obligación legal (en caso de que sea una empresa obligada a tener canal de denuncias), el interés legítimo de la empresa y el interés público de prevenir determinados delitos.
• Confidencialidad. Es fundamental que permita garantizar la confidencialidad de los denunciantes. Puede ser aconsejable permitir la presentación de denuncias anónimas en aquellos casos en los que no sea necesaria la identificación del denunciante para la investigación de los hechos.
• Conservación de los datos. Transcurridos 3 meses desde la interposición de la denuncia, los datos personales deberán borrarse. Podrán seguir siendo tratados en por el órgano que investigue, pero no se podrán almacenar en el propio canal de denuncias.
Una buena práctica, en esta línea, es que el propio canal de denuncias tenga programado un recordatorio al responsable de este borrado antes de que transcurran los 3 meses para que, si desea continuar investigando los hechos, pueda almacenarlos en otro sistema.
En caso de que una denuncia sea rechazada, deberán anonimizar los datos personales.
• Derechos de los interesados. Las personas que se vean involucradas en una denuncia (como el denunciante y el denunciado) pueden ejercitar sus derechos de acceso, rectificación, supresión y oposición, en el momento que corresponda. No podrán, lógicamente, solicitar la supresión de los datos personales mientras se esté llevando a cabo la investigación de la denuncia.
Conclusiones
Es necesario contar con un canal de denuncia cumplidor en nuestra organización, y todos los factores mencionados deben ser considerados a la hora de establecerlo para garantizar su eficacia.
Alineado con los principios de itSMF España extendemos la invitación para que mantengamos firmes lo principios que impulsan cualquier política ética en las organizaciones y no permitamos que los derechos de los participantes en los procesos de denuncia se vean menoscabados.
Entre todos estamos construyendo ese itSMF España que siempre habías imaginado: plural, transparente, activo e influyente. ¿A qué esperas? Únete a él.
Miembro del Grupo de Expertos de Privacidad: ITSM4Privacidad
Comité de Estándares de la Asociación itSMF España
Referencias:
(1) DIRECTIVA (UE) 2019/1937 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Link