Hasta “ahora” en España los canales de denuncia no podían ser anónimos. Una cuestión, desde luego, no exenta de debate.
Canales de denuncia
Y ello debido, fundamentalmente, a que un informe jurídico de la AEPD (0128/2007) admite el establecimiento de estos sistemas si bien subrayando – en palabras de alguna sentencia de apelación de los social- que, “en garantía de los principios de exactitud e integridad de la información contenida en dichos sistemas, debería exigirse que únicamente acepten la inclusión de denuncias en las que aparezca identificado el denunciante, sin perjuicio de la garantía de la confidencialidad de sus datos de carácter personal, no bastando el establecimiento de un primer filtro de confidencialidad y una posible alegación última del anonimato para el funcionamiento del sistema”.
Sin embargo, el artículo 24 del Anteproyecto de Ley Orgánica de Protección de Datos presentado al Congreso lo permite, y con ello genera algunos interrogantes .
“Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente …”
Las dudas…
¿Qué significa conductas…. que puedan ser contraria a la normativa general o sectorial que le fuera aplicable….? ¿Incluye esta redacción “normas” que la propia empresa se da cuando suscribe su Código Ético y que -las más de las veces- obliga a los empleados a aceptar y respetar expresamente? ¿Si se trata de actos o conductas contrarios a las políticas internas no es lícita la creación y mantenimiento de estos sistemas? ¿Denunciar un fraude interno no será lícito? ¿o no lo será tratar los datos de las personas involucradas en la denuncia?.
¿ Qué significa que los “terceros” deberán ser informados acerca de la existencia de los canales de denuncia? ¿Quiénes son los terceros? ¿Son los “socios de negocio” en terminología de la UNE 19601?. Si la respuesta es afirmativa ¿quiere ello decir que si omito informar a mis “socios de negocio” mi canal de denuncias no será lícito bajo estándares de la futura LOPD?
Pero no se para ahí el Anteproyecto…
“El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento. Sólo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos.”
Como consultora de una firma de compliance me alegra ver que podré tener acceso a los datos contenidos en un canal de denuncias de mis clientes, pero ¿qué quiere decir “desarrollen funciones de cumplimiento”? ¿Bastará con que suscriba un contrato de tratamiento de datos con mi cliente? ¿las empresas que externalizan los canales de denuncia desarrollan funciones de cumplimiento?
¿Y los “pobres olvidados” de RRHH? ¿No desarrollan funciones de cumplimiento?… Tal parece que no, porque “solo cuando “Pudiera” proceder la adopción de medidas disciplinarias pueden acceder a los datos…. Pero ¿quién decide si puede procederse a la adopción de medidas disciplinarias si no es habitualmente el propio departamento de RRHH?. Desde luego no será la Función de Cumplimiento quien lo decida. “La pescadilla que se muerde la cola…” Si es RRHH quien puede decidir, pero no puede acceder a los datos ¿cómo lo decide?… Por favor… que alguien me lo aclare.
Canales de denuncia & LOPD
“Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.”
¿Cuánto dura el tiempo imprescindible? ¿dura lo mismo en una cotizada del IBEX que en una empresa familiar? ¿Y si se trata de una multinacional que tiene que acudir a su departamento de control interno para que este investigue?¿cuál es la sanción si se mantienen más tiempo del “imprescindible? ¿quién decide, determina y prueba que ya se ha iniciado una investigación?…
Igual la respuesta la da el propio Anteproyecto…
“En todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias. Si fuera necesaria su conservación para continuar la investigación, podrán seguir siendo tratados en un entorno distinto por el órgano de la entidad al que competa dicha investigación”
¿debe informarse al denunciado/interesado de su inclusión o su supresión en el sistema? Si sale del “sistema” ¿ya no son datos personales? ¿durante cuanto tiempo pueden ser tratados en un “entorno distinto”? ¿Qué es un “entorno distinto”? ¿Un despacho de abogados? ¿Si ya no están en un sistema no son datos protegidos y se pueden tratar libremente en ese “entorno distinto”…?
Creo que empiezo a preocuparme…
© Olga Guidotti
