¿Cómo se regulan los sistemas de denuncias internas en la LOPDGDD?
Los sistemas de denuncias internas en las organizaciones dan lugar a uno de los tratamientos que se incluyen en el Título IV de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), relativo a las disposiciones aplicables a tratamientos concretos. Tal como se indica en el artículo 24 de la LOPDGDD, son lícitos los tratamientos de datos personales necesarios para garantizar la protección de las personas que informen sobre infracciones normativas. Estos tratamientos se rigen por el Reglamento (UE) 2016/679 (en adelante, RGPD) y por las reglas específicas previstas en los arts. 29 a34 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. En concreto, esta norma, vigente desde el 13-3-2023, regula el régimen jurídico del tratamiento de datos personales en caso de "denuncias internas", la licitud de estos tratamientos de datos personales, la información sobre protección de datos personales y ejercicio de derechos, el tratamiento de datos personales en el Sistema interno de información, la preservación de la identidad del informante y de las personas afectadas; y contiene especialidades para el Delegado de protección de datos.
¿Qué estableció el Dictamen del GT29 sobre los sistemas internos de denuncia?
El Grupo de Trabajo del artículo 29 (GT29), que se incorporó el 25 de mayo al Comité Europeo de Protección de Datos (CEPD), creado por el RGPD, publicó el dictamen 1/2006 relativo a la aplicación de las normas sobre protección de datos de la UE a los sistemas internos de denuncia de irregularidades en los ámbitos de la contabilidad, controles de auditoría internos, cuestiones de auditoría, lucha contra la corrupción y delitos financieros y bancarios, WP 117, adoptado el 1 de febrero de 2006.
En concreto, tal como apunta el mencionado dictamen, el origen de estos sistemas internos de denuncia se encuentra en la ley Sarbanes-Oxley (SOX), que fue adoptada en 2002 por el Congreso de los EE.UU.
A pesar de que se trata de un documento previo al RGPD y, por tanto, desarrollado conforme a la derogada Directiva 95/46/CE, además de que no era "definitivo", es relevante ya que analizaba la aplicación de las normas sobre protección de datos de la UE a los sistemas internos de denuncia de irregularidades en los ámbitos de la contabilidad, controles de auditoría internos, cuestiones de auditoría, lucha contra el soborno y delitos financieros y bancarios, pudiendo, por tanto, servir de referente, en buena medida, a la hora de aplicar la normativa ahora vigente.
En concreto, el GT29 analizaba la compatibilidad de estos sistemas de denuncia de irregularidades con las normas europeas sobre protección de datos, su legitimidad, la aplicación de los principios de calidad y proporcionalidad de datos, la información a proporcionar a los interesados, los derechos que tiene la persona incriminada, la seguridad del tratamiento de los datos, la gestión de estos sistemas y las transferencias internacionales de datos.
¿Se pueden recibir denuncias anónimas?
La posibilidad de que puedan recibirse denuncias anónimas en los sistemas de denuncias internas es una novedad con la LOPDGDD, que se reafirma en el art. 7.3 Ley 2/23, de 20 de febrero, de protección del denunciante. Con anterioridad, el criterio previo de la Agencia Española de Protección de Datos (AEPD) era que tal circunstancia no resultaba posible. En concreto, la AEPD emitió en 2007 su informe jurídico 0128/2007 sobre la creación de denuncias internas en las empresas (mecanismos de "whistleblowing") en el que daba respuesta a una consulta sobre estos sistemas.
En concreto, basándose en el dictamen del GT29 ya citado, la AEPD consideraba en su informe que debería partirse del establecimiento de procedimientos que garanticen el tratamiento confidencial de las denuncias presentadas a través de los sistemas de "whistleblowing", de forma que se evite la existencia de denuncias anónimas.
Al respecto, dentro de un apartado relativo a fomentar las denuncias identificadas y confidenciales frente a las denuncias anónimas, el GT29 indicaba en primer lugar que las denuncias anónimas plantean un problema específico por lo que respecta al requisito básico de que los datos personales deben recogerse limpiamente. Por regla general, el Grupo de Trabajo considera que, para satisfacer este requisito, sólo las denuncias identificadas deben comunicarse a través del sistema de denuncia de irregularidades.
No obstante, el propio GT29 indicaba también a continuación que es consciente de que algunos denunciantes pueden no siempre estar en una posición o tener la disposición psicológica para presentar denuncias identificadas. También es consciente del hecho de que las denuncias anónimas son una realidad en las empresas, incluso y especialmente en ausencia de sistemas de denuncia de irregularidades confidenciales organizados, y que esta realidad no puede obviarse. El Grupo de Trabajo considera por tanto que la existencia de sistemas de denuncia de irregularidades puede dar lugar a que se presenten denuncias anónimas a través del mismo, y se tengan en cuenta, pero como excepción a la regla y sujetas a determinadas condiciones.
Estas condiciones se refieren, específicamente, a si deben investigarse y tramitarse con mayor velocidad que las denuncias confidenciales, así como a la necesidad de un examen exhaustivo, con especial precaución, de las denuncias anónimas con la finalidad de evitar el riesgo de mal uso.
Es así que la LOPDGDD incluye también la posibilidad de presentar denuncias anónimas, dada la realidad en el día a día de las organizaciones, si bien entendiendo que deberán tenerse en consideración el criterio mantenido tanto por el GT29 como por la Agencia Española de Protección de Datos.
¿Cuándo se considera legítimo el tratamiento de los datos?
La legitimación del tratamiento de los datos personales en un sistema de información de denuncias internas, como menciona el Preámbulo de la LOPDGDD, estaría basada en el interés público, conforme al artículo 6.1.e) del RGPD.
Al respecto, como ya indicó el GT29 en su Dictamen 06/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE, WP 217, adoptado el 9 de abril de 2014, en relación con esta condición de legitimación del tratamiento, 4, cubre dos situaciones y es pertinente tanto para el sector público como para el sector privado. En el primer caso, el GT29 indica que comprende situaciones en las que el mismo responsable del tratamiento tiene una potestad pública o una misión de interés público (pero no necesariamente una obligación jurídica de tratar los datos) y el tratamiento es necesario para el ejercicio de dicha potestad o para la ejecución de dicha misión.
Y el segundo caso comprende situaciones en las que el responsable del tratamiento no tiene una potestad oficial, pero una tercera parte con dicha potestad le solicita que revele los datos. Por ejemplo, un funcionario de un organismo público competente para investigar delitos puede pedir al responsable del tratamiento que coopere en una investigación en curso, en vez de ordenar al responsable del tratamiento que cumpla una solicitud específica de cooperación. También cubre además situaciones en las que el responsable del tratamiento comunica de forma proactiva los datos a una tercera parte con dicha potestad oficial. Este puede ser el caso, por ejemplo, de que el responsable del tratamiento advierta que se ha cometido un delito penal y facilite esta información a las autoridades competentes con funciones coercitivas por iniciativa propia.
Sin perjuicio de lo anterior, en particular en el sector privado, habría que considerar también tanto que el tratamiento de los datos personales sea necesario para cumplir con una obligación legal, ya sea en virtud del Derecho de la Unión Europea o nacional, como que lo sea para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales.
¿Quién puede acceder a los datos tratados en el sistema de denuncias?
Con la finalidad de garantizar la confidencialidad de los datos personales tratados en el sistema de información de denuncias internas, el art. 32 de la Ley 2/23, de 20 de febrero, de protección del informante, indica que únicamente pueden acceder a los datos personales tratados en el sistema: a) El Responsable del Sistema y a quien lo gestione directamente; b) El responsable de recursos humanos o el órgano competente debidamente designado, solo cuando pueda proceder la adopción de medidas disciplinarias contra un trabajador. En el caso de los empleados públicos, el órgano competente para la tramitación del mismo; c) El responsable de los servicios jurídicos de la entidad u organismo, si procede la adopción de medidas legales en relación con los hechos relatados en la comunicación; d) Los encargados del tratamiento que eventualmente se designen; e) El delegado de protección de datos.
También se prevé que, en su caso, será lícito el acceso por otras personas o la comunicación a otros destinatarios, por ser necesario para adoptar medidas disciplinarias o la tramitación de procedimientos judiciales. No obstante, si la información recibida contiene datos personales incluidos dentro de las categorías especiales de datos, se debe proceder a su inmediata supresión, sin que se proceda al registro y tratamiento de los mismos..
También debe procederse a su supresión si se acredita que la información facilitada o parte de ella no es veraz, desde el momento en que se tenga constancia de dicha circunstancia, salvo que dicha falta de veracidad pueda constituir un ilícito penal, en cuyo caso se guardará la información por el tiempo necesario durante el que se tramite el procedimiento judicial..
Adicionalmente, se regula la preservación de la identidad y garantía de la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada : el responsable del tratamiento debe adoptar las medidas necesarias, prestando especial atención a la persona denunciante, en caso de que la denuncia no fuera anónima. Así, la identidad del informante solo puede ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora
¿Cuál es el plazo de conservación de los datos personales en el sistema?
El apartado 3 del artículo 32 de la Ley 2/23, de 20 de febrero, de protección del informante, indica específicamente que los datos personales de quien formule la comunicación, es decir, la "denuncia interna", así como de los empleados y terceros solo se podrán conservar en el sistema de información de denuncias internas durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados. Esto indica cuál es el criterio a seguir por el responsable del tratamiento para determinar hasta cuándo podrán tratarse los datos personales de quien denuncia y de las personas a las que se refiere o a las que involucra o afecta la denuncia, es decir, los terceros.
Transcurridos tres meses desde la recepción de la comunicación ("denucia"), debe procederse a su supresión del sistema de denuncias, con la excepción relativa a que la finalidad de conservar los datos personales sea la de dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. (art. 32.4 Ley 2/23, de 20 de febrero).
Además, en caso de no dar curso a una denuncia, el responsable del tratamiento tendrá que anonimizar los datos personales cuando transcurra el plazo, específico o genérico, indicado en este artículo, sin que resulte aplicable la obligación de bloqueo.
Recuerde que...
- • La creación y mantenimiento de sistemas de denuncia interna es lícito, siempre que se cumpla con los requisitos establecidos en la normativa aplicable. .
- • Como norma general, los datos personales tratados en los sistemas de denuncias internas deben suprimirse en un plazo máximo de tres meses desde su introducción.
- • En un sistema de denuncias internas pueden tramitarse denuncias anónimas, con especial precaución para evitar un uso abusivo. Se deben adoptar medidas para garantizar la confidencialidad de las denuncias y la preservación de la identidad de las personas afectadas.