info@legalcompliancespain.com

Legal Compliance
  • SOBRE NOSOTROS
    • Código de Ética
  • NUESTRO EQUIPO
  • CONSULTORÍA
    • Programas de compliance
    • Buen Gobierno y Transparencia
    • Responsabilidad Social Corporativa
    • Sistemas de control
  • SERVICIOS ESPECÍFICOS
    • Principales áreas de riesgo legal
    • Due Diligence
    • Cultura de cumplimiento
  • AUDITORÍAS
  • CLIENTES
  • CONTACTO
  • BLOG
  • CANAL DE DENUNCIAS
  • FORMACIÓN Y COMUNICACIÓN
  • EVENTOS
    • CNMC – Taking care of the Whistleblower (1): A matter of Integrity
    • Relaciones de pareja (2): Compliance y Auditoría interna
    • Relaciones de pareja (1): Compliance y Recursos Humanos
  • Idioma: Español
    • Español Español
    • English English
    • Deutsch Deutsch
  • SOBRE NOSOTROS
    • Código de Ética
  • NUESTRO EQUIPO
  • CONSULTORÍA
    • Programas de compliance
    • Buen Gobierno y Transparencia
    • Responsabilidad Social Corporativa
    • Sistemas de control
  • SERVICIOS ESPECÍFICOS
    • Principales áreas de riesgo legal
    • Due Diligence
    • Cultura de cumplimiento
  • AUDITORÍAS
  • CLIENTES
  • CONTACTO
  • BLOG
  • CANAL DE DENUNCIAS
  • FORMACIÓN Y COMUNICACIÓN
  • EVENTOS
    • CNMC – Taking care of the Whistleblower (1): A matter of Integrity
    • Relaciones de pareja (2): Compliance y Auditoría interna
    • Relaciones de pareja (1): Compliance y Recursos Humanos
  • Idioma: Español
    • Español Español
    • English English
    • Deutsch Deutsch

Canales de denuncia y la Protección de Datos Personales

07 de February de 2018  |  By Olga Guidotti In Buen Gobierno, Compliance penal, Cumplimiento Normativo
Canales de denuncia y la protección de datos

Hasta “ahora” en España los canales de denuncia no podían ser anónimos. Una cuestión, desde luego, no exenta de debate.

Canales de denuncia

Y ello debido, fundamentalmente, a que un informe jurídico de la AEPD (0128/2007) admite el establecimiento de estos sistemas si bien subrayando – en palabras de alguna sentencia de apelación de los social- que, “en garantía de los principios de exactitud e integridad de la información contenida en dichos sistemas, debería exigirse que únicamente acepten la inclusión de denuncias en las que aparezca identificado el denunciante, sin perjuicio de la garantía de la confidencialidad de sus datos de carácter personal, no bastando el establecimiento de un primer filtro de confidencialidad y una posible alegación última del anonimato para el funcionamiento del sistema”.

Sin embargo, el artículo 24 del Anteproyecto de Ley Orgánica de Protección de Datos presentado al Congreso lo permite, y con ello genera algunos interrogantes .

“Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente …”

Las dudas…

¿Qué significa conductas…. que puedan ser contraria a la normativa general o sectorial que le fuera aplicable….? ¿Incluye esta redacción “normas” que la propia empresa se da cuando suscribe su Código Ético y que -las más de las veces- obliga a los empleados a aceptar y respetar expresamente? ¿Si se trata de actos o conductas contrarios a las políticas internas no es lícita la creación y mantenimiento de estos sistemas? ¿Denunciar un fraude interno no será lícito? ¿o no lo será tratar los datos de las personas involucradas en la denuncia?.

¿ Qué significa que los “terceros” deberán ser informados acerca de la existencia de los canales de denuncia? ¿Quiénes son los terceros? ¿Son los “socios de negocio” en terminología de la UNE 19601?. Si la respuesta es afirmativa ¿quiere ello decir que si omito informar a mis “socios de negocio” mi canal de denuncias no será lícito bajo estándares de la futura LOPD?

Pero no se para ahí el Anteproyecto…

“El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento. Sólo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos.”

Como consultora de una firma de compliance me alegra ver que podré tener acceso a los datos contenidos en un canal de denuncias de mis clientes, pero ¿qué quiere decir “desarrollen funciones de cumplimiento”? ¿Bastará con que suscriba un contrato de tratamiento de datos con mi cliente? ¿las empresas que externalizan los canales de denuncia desarrollan funciones de cumplimiento?

¿Y los “pobres olvidados” de RRHH? ¿No desarrollan funciones de cumplimiento?… Tal parece que no, porque “solo cuando “Pudiera” proceder la adopción de medidas disciplinarias pueden acceder a los datos…. Pero ¿quién decide si puede procederse a la adopción de medidas disciplinarias si no es habitualmente el propio departamento de RRHH?. Desde luego no será la Función de Cumplimiento quien lo decida. “La pescadilla que se muerde la cola…” Si es RRHH quien puede decidir, pero no puede acceder a los datos ¿cómo lo decide?… Por favor… que alguien me lo aclare.

Canales de denuncia & LOPD

“Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.”

¿Cuánto dura el tiempo imprescindible? ¿dura lo mismo en una cotizada del IBEX que en una empresa familiar? ¿Y si se trata de una multinacional que tiene que acudir a su departamento de control interno para que este investigue?¿cuál es la sanción si se mantienen más tiempo del “imprescindible? ¿quién decide, determina y prueba que ya se ha iniciado una investigación?…

Igual la respuesta la da el propio Anteproyecto…

“En todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias. Si fuera necesaria su conservación para continuar la investigación, podrán seguir siendo tratados en un entorno distinto por el órgano de la entidad al que competa dicha investigación”

¿debe informarse al denunciado/interesado de su inclusión o su supresión en el sistema? Si sale del “sistema” ¿ya no son datos personales? ¿durante cuanto tiempo pueden ser tratados en un “entorno distinto”? ¿Qué es un “entorno distinto”? ¿Un despacho de abogados? ¿Si ya no están en un sistema no son datos protegidos y se pueden tratar libremente en ese “entorno distinto”…?

Creo que empiezo a preocuparme…

© Olga Guidotti

Previous StoryCabeza fría en todo momento y, en caso de duda, pregunte (3)
Next StoryEl Reglamento General Europeo de Protección de Datos, los autónomos y las personas jurídicas ¿hay novedades?

Related Articles

  • Consejo de Ministros
    La protección de datos en el proyecto de Ley de personas que informan sobre infracciones
  • acoso sexual - La Ley de libertad sexual impacta sobre la responsabilidad penal de empresas y organizaciones
    La Ley de libertad sexual impacta sobre la responsabilidad penal de empresas y organizaciones

Entradas recientes

  • LIDERAZGO Y COMPLIANCE – Birnin Konni
  • La protección de datos en el proyecto de Ley de personas que informan sobre infracciones
  • La Ley de libertad sexual impacta sobre la responsabilidad penal de empresas y organizaciones
  • Siete razones por las que usar tecnología Blockchain en Compliance tiene sentido
  • Fondo de Recuperación Next Generation y Medidas Antifraude

Archivos

  • enero 2023
  • octubre 2022
  • septiembre 2022
  • diciembre 2021
  • octubre 2021
  • mayo 2021
  • marzo 2021
  • enero 2021
  • octubre 2020
  • junio 2020
  • febrero 2020
  • noviembre 2019
  • mayo 2019
  • diciembre 2018
  • noviembre 2018
  • octubre 2018
  • agosto 2018
  • julio 2018
  • marzo 2018
  • febrero 2018
  • enero 2018
  • noviembre 2017
  • octubre 2017
  • agosto 2017
  • junio 2017
  • mayo 2017
  • abril 2017
  • febrero 2017
  • enero 2017
  • noviembre 2016
  • septiembre 2016
  • julio 2016
  • junio 2016
  • mayo 2016
  • marzo 2016
  • febrero 2016
  • enero 2016
  • diciembre 2015
  • octubre 2015
  • septiembre 2015
  • julio 2015
Legal Compliance
  • SOBRE NOSOTROS
  • NUESTRO EQUIPO
  • CONSULTORÍA
  • SERVICIOS ESPECÍFICOS
  • AUDITORÍAS
  • BLOG
  • CANAL DE DENUNCIAS
  • FORMACIÓN Y COMUNICACIÓN
  • EVENTOS
  • CLIENTES
  • CONTACTO
  • Idioma: Español

Copyright ©2018-2023 Legal Compliance. Todos los Derechos reservados. All Rights Reserved.
Aviso legal y Cookies | Política de Privacidad y Protección de Datos ## Desarrollo web y SEO.

Ir a la versión móvil