Canales de denuncia, el armazón de la delación: una mirada al art. 24 de la LOPDGDG y a la nueva Directiva (UE) 2019/1937, de 23 de octubre, de protección a los alertadores.
Con la “transposición” del Reglamento (UE) 2016/679 (en adelante, “Reglamento” o “RGPD”) a través de la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y Garantías de los Derechos Digitales (en adelante, “LOPD” o “Ley”), la normativa nacional se ha permitido, entre otros, desarrollar y adaptar la creación de estructuras legítimas para el tratamiento de datos, a través de la regulación de diferentes mecanismos ajustados según el ámbito en el cual se requieren los datos personales. Estas estructuras se desarrollan en el Título IV de la LOPD.
Entre estas estructuras podemos encontrar el Sistema de Información de Denuncias Internas establecido en el artículo 24 de la LOPD (en adelante, “el Sistema”), el cual resulta una adaptación práctica de distintas disposiciones de compliance dentro del ordenamiento jurídico español y buenas prácticas, a fin de hacer compatible dicho sistema con los principios desarrollados en el RGPD, la UNE 19601 sobre Sistemas de Gestión de Compliance Penal publicada en mayo de 2017, y con las obligaciones empresariales definidas en el artículo 31 bis del Código Penal, relativo al deber de los empleados de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
Con la nueva Ley, el objetivo de este sistema es promover y facilitar a los empleados y/o directivos de una entidad determinada, o terceros vinculados a esta entidad, un canal de denuncias sobre la existencia de actuaciones o conductas dentro de la empresa en cuestión, que sean contrarias a la normativa sectorial y general.
Si bien el artículo 24 de la LOPD conserva la posibilidad de que las denuncias puedan formularse identificando tanto al denunciante como al denunciado, la gran novedad de este sistema es que estas denuncias podrán ser formuladas de manera anónima, siempre que el mismo contemple todos los requisitos de tratamiento de datos descritos en el artículo 24. Esta nueva posibilidad revoca el criterio sostenido de la Agencia Española de Protección de Datos sobre los mecanismos de whistleblowing o denuncias internas, donde se recomendaba evitar el procesamiento de denuncias anónimas ya que no podía garantizarse la exactitud e integridad de la información emitida si no se contaba con los datos del denunciante; además, se asumía que el deber de confidencialidad sobre los datos personales procesados era suficiente garantía para los denunciantes, sin tener éstos la necesidad de ocultarse a través del anonimato. No obstante, en la práctica el sistema no facilitaba la canalización de estas irregularidades debido al temor de los denunciantes a que existiera una ruptura de esta confidencialidad, y en consecuencia, alguna represalia en su contra.
Por otro lado, para garantizar la confidencialidad de los datos personales expuestos a través de este sistema, se ha limitado el acceso a dicha información, permitiendo una gestión de datos exclusivamente por aquellas personas encargadas con funciones de control interno y de cumplimiento, o por las personas designadas como encargadas de tratamiento en la empresa en cuestión.
Asimismo, en caso de que la denuncia efectuada requiera escalar a un procedimiento administrativo o judicial que implique la toma de medidas disciplinarias, el acceso a estos datos se ampliará a terceros funcionarios y/o partícipes del procedimiento en cuestión, y personal de recursos humanos únicamente cuando se trate de medidas contra un trabajador.
La creación de este sistema debe garantizar la preservación de la identidad y confidencialidad de los datos con especial énfasis los datos del denunciante, durante el tiempo que se considere imprescindible para decidir sobre la procedencia de iniciar una investigación o no. En cualquier caso, dicho período no podrá exceder de los 3 meses.
Si se requiere una extensión de dicho período, se podrán conservar dichos datos por otro ciclo más extenso y bajo gestión de las mismas personas encargadas, siempre que dichos datos se transfieran a otro entorno de tratamiento de datos distinto al canal de denuncias aquí descrito. En caso de no requerirse la extensión expuesta anteriormente, los datos deberán suprimirse una vez finalizado el plazo de Ley.
Aunque el sistema está planteado para entidades del sector privado, también sus principios serán aplicables al sector público.
De esta forma, el artículo 24 de la LOPD, no solo adapta el principio de protección de datos personales que constituye las bases de esta normativa, sino que contribuye al desarrollo de sistemas de canalización de denuncias internas, permitiendo el anonimato como promotor de la participación de todas las partes involucradas en la generación de buenas prácticas de cumplimiento normativo.
Precisamente, con el mismo fin de alentar la creación de estructuras adecuadas que garanticen la confidencialidad de la denuncia de irregularidades en el ámbito laboral, ha sido aprobada la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, también conocida como Directiva Whistleblowing (en adelante, “Directiva”).
La citada legislación establece unas normas mínimas comunes cuya transposición se deberá efectuar en los ordenamientos jurídicos nacionales de los Estados Miembros (en adelante, “EM”) en un periodo máximo de dos años. Aun así, este instrumento normativo ha vuelto a poner de manifiesto la relevancia del papel de los whistleblowers en la prevención y descubrimiento de conductas lesivas, otorgándoles protección en algunos ámbitos tan importantes como la contratación pública o la prevención del blanqueo de capitales, entre muchos otros.
Al respecto, los requisitos que deberá cumplir el denunciante para poder gozar de protección, siempre que se traten de ámbitos contemplados en la misma, se concretan, por un lado, a disponer de motivos fundados para pensar que aquello que es objeto de notificación goza de veracidad en el momento de la denuncia. Y, por otro lado, se exige que la persona alertadora haya denunciado por los cauces establecidos conforme a las previsiones de la Directiva.
En cuanto a las medidas contempladas para alcanzar los fines pretendidos se encuentra la obligación de establecer por parte de las entidades jurídicas del sector privado, cauces internos de denuncia si su plantilla está formada por 50 o más empleados. Asimismo, tal y como dispone el Artículo 8, también será obligatorio para todas las entidades jurídicas del sector público a nivel nacional, regional y local, siendo en este último caso preceptivo si el municipio supera los 10.000 habitantes o el conjunto de trabajadores de la entidad excede el umbral de los 50.
Aun así, la Directiva alienta a implantar igualmente canales que garanticen la confidencialidad y la tramitación diligente de la denuncia a todas aquellas que queden excluidas del mencionado cometido.
Además, también regula las denuncias externas, es decir, aquellas comunicaciones que tienen lugar ante las autoridades competentes. Sobre su convivencia con las citadas denuncias internas ante las mismas entidades jurídicas, la Directiva, en el Considerando 47, apuesta por dar prioridad a este último cauce, animando a los whistleblowers a informar primero a la organización siempre que tengan el convencimiento que podrá tramitar de manera eficaz la infracción, así como también si albergan la seguridad que no habrá riesgo a represalias.
Precisamente, una medida ex ante esencial para que el denunciante posea la certeza de que no se van a generar represalias en su contra es la búsqueda de una mayor protección de la confidencialidad, necesaria para proteger los derechos y libertades de la persona alertadora.
Así como ocurría en la mencionada LOPD, la Directiva también establece mecanismos para conseguir dicho fin. Entre ellos, se encuentra la no revelación de la identidad del denunciante a ninguna persona que no esté autorizada para recibir y tramitar denuncias.
Otro pilar básico que cabe traer a colación versa sobre la posibilidad de formular denuncias anónimas. Al respecto, no se ha adoptado ninguna postura concreta, dejando en manos de los EM la facultad de decidir si las entidades públicas o privadas y las autoridades competentes deben o no aceptarlas y tramitarlas.
No obstante, como se establece en el Considerando 34 del mismo, en el caso de que los alertadores denuncien de manera anónima dentro del ámbito de aplicación de la Directiva y cumplan sus condiciones, deben gozar de protección si posteriormente son identificadas y sufren represalias.
Teniendo en cuenta el citado artículo 24 LOPD, la futura transposición de la Directiva a nuestro ordenamiento jurídico nacional en principio debería apostar por la posibilidad de aceptar y tramitar las denuncias anónimas.
En definitiva, la aprobación de legislación sobre estas cuestiones pretende la incrementación de los canales de denuncias en las empresas y una mayor protección de la confidencialidad y los derechos y libertades de los alertadores, mejorando así, según la Propuesta de Directiva antecedente a la que ha sido objeto de análisis, las condiciones de trabajo del 40% de los empleados de la UE.
Todo ello contribuirá al fomento de una cultura de buena comunicación y responsabilidad social empresarial en las organizaciones, en las que los whistleblowers van a ser parte de la autocorrección y excelencia de las mismas entidades jurídicas, incluso permitiendo el anonimato de aquéllos para incrementar su confianza en el sistema.
Para finalizar, a nadie se le escapa que actualmente el grado de utilización de los canales internos de denuncia depende en gran medida de como se garantiza la confidencialidad. Hasta ahora la vía más “garantista” que perciben los empleados parece ser el anonimato, especialmente cuando los canales están gestionados internamente, en lugar de por externos (siguiendo el criterio sugerido por la Circular 1/2016 de la FGE, de 22 de enero). De momento nadie está teniendo presente, al menos por ahora no legislativamente, una verdadera protección de la identidad del denunciante, una vez judicializado el asunto.
Bibliografía
Legislación
Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019 sobre la Protección de las personas que informen sobre infracciones del Derecho de la Unión (DOUE nº305, de 23.10.2019).
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOE nº294, de 06.12.2018).
Jurisprudencia
Sentencia del Tribunal Supremo núm. 318/2013, de 11 de abril (ponente: Excmo. Sr. Manuel Marchena Gómez).
Bibliografía citada
Torras Coll, J. / Gimeno Beviá, J. / Fortuny Cendra, M., “Instrumentos alternativos al proceso penal de la persona jurídica: desde las diligencias de investigación del Ministerio Fiscal y la mediación penal hacia los DPA norteamericanos”, Diario La Ley, nº 9443, 2019.
Webgrafía
Law & Trends, “La doctrina del Tribunal Supremo sobre denuncias anónimas como guía -mutatis mutandis- a las denuncias anónimas en un sistema interno de prevención de delitos”.
Oficina Antifrau de Catalunya, “La protección de los alertadores”.