Compliance: las denuncias por el canal interno podrán ser anónimas
31 de agosto de 2017
Compliance: las denuncias por el canal interno podrán ser anónimas
La futura Ley de Protección de Datos zanja una cuestión de 'compliance'. La duda era si podía admitirse el anonimato o únicamente la confidencialidad.
Es una de las cuestiones más controvertidas en la regulación de los sistemas de prevención de delitos (o programas de compliance) de las empresas, pero la futura Ley Orgánica de Protección de Datos (LOPD), de aprobarse tal y como consta en el anteproyecto, zanja la cuestión. Así, las denuncias que se presenten a través de los canales internos de denuncia (o mecanismos de whistleblowing) que tienen que implantar las compañías, podrán ser anónimas.
El debate planteado era si era admisible el anonimato, es decir, que el autor de la denuncia podía presentarla sin identificarse, o si, por el contrario, sólo cabía admitir la confidencialidad. Esto es, que el denunciante tiene que proporcionar algún dato, pero éstos permanecerían reservados, limitando el acceso a los mismos.
La problemática es la siguiente. No admitir el anonimato puede frenar a muchos denunciantes a comunicar las irregularidades o los ilícitos de los que tengan conocimiento, con lo cual se merma la efectividad del canal de denuncias y del propio sistema de compliance.
En el otro extremo, la denuncia anónima libera de toda responsabilidad al denunciante, dejándole amplio margen para que comunique hechos falsos, inexactos o con los que pretende perjudicar al denunciado. Asimismo, prohibir la investigación de denuncias anónimas puede tener el efecto perverso de proporcionar al infractor un medio para blindarse de que puedan indagarse sus hechos.
El artículo 17 del texto opta por reforzar la efectividad del programa de compliance y determina que "será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad privada, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable".
Un elemento fundamental
El artículo 31 bis del Código Penal, que regula la responsabilidad penal de las personas jurídicas, configura los canales de denuncia como un requisito fundamental para apreciar la eficacia de los sistemas de compliance. De tal modo que exige a las organizaciones que impongan "la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención".
La polémica en relación con la posibilidad de que las denuncias sean anónimas proviene del Informe Jurídico 128/2007 de la Agencia de Protección de Datos que, tras analizar la creación de los sistemas de denuncias internas, afirmó que lo que debería garantizarse es "el tratamiento confidencial de las denuncias presentadas [...] de forma que se evite la existencia de denuncias anónimas, garantizándose la exactitud e integridad de la información contenida en dichos sistemas".
Más recientemente, la norma UNE 19601 -de la Asociación Española de Normalización-, que contiene los requisitos de certificación de los sistemas de compliance, admitía también la opción de que las comunicaciones que se realicen a través de los procedimientos internos de la organización para tener conocimiento de irregularidades o incumplimientos sean anónimas.
El artículo 17 del anteproyecto de LOPD exige que se informe a los empleados y a terceros de la existencia de canales internos. El acceso a los datos contenidos en el mismo quedará limitado exclusivamente al personal que lleva a cabo las funciones de "control interno y de cumplimiento y, sólo cuando procediera la adopción de medidas disciplinarias contra un trabajador, al personal con funciones de gestión y control de recursos humanos".
La futura norma también impone a la organización el deber de preservar la identidad y garantizar la confidencialidad del denunciante -cuando no opte por el anonimato- y ordena que los datos se conserven en el sistema únicamente el tiempo imprescindible para la averiguación de los hechos denunciados, con un límite de tres meses desde su introducción en el canal.