Protección de datos y sistemas de información de denuncias internas
4 de enero de 2019
Protección de datos y sistemas de información de denuncias internas
La nueva normativa prevé mantener el anonimato del denunciante y garantizar la confidencialidad de los datos obtenidos.
La nueva normativa en protección de datos se refiere a los sistemas de denuncias internas con una regulación concreta que prevé aspectos como la posibilidad de mantener el anonimato del denunciante, garantizar la confidencialidad de los datos obtenidos o la conservación de la denuncia el tiempo estrictamente necesario para la investigación.
La nueva Ley Orgánica 3/2018, de 6 de diciembre, de Protección de Datos, además del paquete de garantías de los derechos digitales del Título X, recoge en su Título IV un listado de supuestos que, tal y como se prevé en el preámbulo, en ningún caso debe considerarse exhaustiva de todos los tratamientos lícitos. Dentro de dichos supuestos cabe referenciar, el tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales; el tratamiento de datos por sistemas de información crediticia o el tratamiento relacionado con la realización de determinadas operaciones mercantiles.
Junto a estos supuestos, otros como la videovigilancia, los ficheros de exclusión publicitaria o los sistemas de denuncias internas. Finalmente, se hace referencia en este Título a la licitud de otros tratamientos como los relacionados con la función estadística o con fines de archivo de interés general.
En todo caso, el hecho de que el legislador se refiera a la licitud de los referidos tratamientos no excluye el deber de los responsables de adoptar todas las medidas de responsabilidad activa previstas tanto en el Reglamento (UE) 2016/679 (Capítulo IV) como en la propia Ley Orgánica 3/2018 (Título V).
En este contexto, como señalábamos anteriormente, la nueva Ley Orgánica identifica lo que se viene conociendo como canal de denuncias bajo la denominación “sistemas de información de denuncias internas”, estableciendo una regulación concreta en lo que a la creación y uso de dichos sistemas se refiere. En este sentido, cabe destacar los siguientes aspectos a tener en cuenta con ocasión de la entrada en vigor de la Ley.
En este sentido, se considera lícita la creación y el mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad, la comisión, en el seno de la misma o como consecuencia de la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que resulte de aplicación a dicha entidad.
Además, se permite que las denuncias que se articulen a través del sistema puedan ser anónimas.
Por supuesto, los empleados y terceros habilitados para hacer uso del sistema deberán ser informados acerca de la existencia de estos sistemas de información
El acceso a los datos contenidos en los sistemas quedará limitado exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento o, en su caso, a los encargados del tratamiento que se encarguen eventualmente de dichas funciones.
Este límite tiene dos excepciones. La primera, cuando el acceso por otras personas, o incluso su comunicación a terceros, resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan. La segunda, cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, en cuyo caso se permitirá el acceso al personal con funciones de gestión y control de recursos humanos.
Por otra parte, se protegerá la identidad y garantizará la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, y especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.
Los datos de quien formule la denuncia y de los empleados y terceros se conservarán en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados. En todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias. Si fuera necesaria su conservación para continuar la investigación, podrán seguir siendo tratados en un entorno distinto. No será de aplicación a estos sistemas la obligación de bloqueo o conservación de datos. De manera que las denuncias a las que no se haya dado curso solo se podrán conservar de forma anonimizada o en su caso se procederá a su destrucción o eliminación.
Atendiendo a todo ello toca ahora revisar los mecanismos y políticas aplicables a los canales internos de denuncia.