Ya seas empresaria o empresario, seas la directiva o el directivo de una organización, o bien seas la empleada o empleado de un negocio, te interesará conocer más sobre las denuncias internas en una compañía y cómo éstas se regulan en la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (a partir de ahora, LOPDGDD).
Como ya sabes y se ha comentado en nuestras publicaciones anteriores, el pasado 17 de diciembre del 2018 entró en vigor la LOPDGDD, que sustituye a la anterior LOPD. Es justamente en esta nueva normativa en la que por primera vez se establece la posibilidad de realizar denuncias anónimas en las empresas, también conocidas como “whistleblowing”.
Nace, por tanto, un sistema de denuncias internas.
¿En qué consiste este nuevo sistema de denuncias internas?
Son, en pocas palabras, canales de denuncia interna de las empresas por acciones, hechos o comportamientos que pueden suponer violaciones de:
• Leyes
• Normativas
• Códigos éticos
• Normas internas de la organización
Uno de los factores clave de estos mecanismos de denuncia interna es que pueden constituir un eximente de responsabilidad penal de las empresas, de acuerdo con lo que establece el Código Penal. Es por ello que muchas organizaciones han introducido en ellas programas de cumplimiento normativo, que incluyen canales de denuncias internas para informar de posibles irregularidades dentro de la compañía. Esto último permite que tanto empleados/as como directivos/as puedan ser parte denunciante o parte denunciada.
¿Cómo era antes de la entrada en vigor de la LOPDGDD?
Está claro que el RGPD supuso un avance en este sentido, pues, a diferencia de lo que sí recoge la nueva LOPDGDD, la anterior LOPD no permitía la presentación de denuncias anónimas en las empresas. Tan sólo admitía las denuncias en las que apareciera claramente identificado el denunciante, por lo que reducía claramente la presentación de denuncias de los usuarios por miedo a represalias por parte de la persona denunciada o de la propia organización. Algo que suponía, en definitiva, una imposibilidad real de denunciar una irregularidad que atentaba y afectaba a los derechos de las personas y las situaba en uan posición de peligro y desfavorable frente a la empresa.
Ahora, afortunadamente, las compañías deberán informar a todos los empleados de la existencia de mecanismos para poder denunciar de forma anónima.
¿Quién puede acceder a los sistemas de denuncias internas? ¿Quién puede ver las denuncias anónimas?
La LOPDGDD establece que sólo las personas autorizadas para ello pueden acceder a los datos personales tratados en los canales de denuncia interna, siempre que sus funciones sean las de control interno y de cumplimiento. El objetivo final de ello es garantizar la confidencialidad de los datos personales que se traten en el sistema de denuncias internas. No obstante lo anterior, también podrán acceder los encargados del tratamiento que se asignen para cada caso, así como se podrán comunicar a otras personas cuando ello sea necesario para adoptar determinadas medidas disciplinarias o la tramitación de procedimientos judiciales. Es el caso, por ejemplo, de todo lo relativo al ámbito laboral, en el que sí se permitirá el acceso a toda persona que desempeñe funciones de gestión de recursos humanos.
En definitiva, se trata de establecer un sistema de denuncias internas que garantice la privacidad de los denunciantes, permitiendo tan sólo el acceso a sus datos a aquellas personas que estén expresamente autorizadas y que tengan funciones para llevar a cabo las medidas que correspondan, de ser necesario.
¿Durante cuánto tiempo se deben conservar los datos personales dentro del sistema de denuncias internas?
La LOPDGDD establece expresamente que los datos personales del denunciante, así como de empleados/as y de terceros sólo se podrán conservar en los sistemas de denuncias internas durante el tiempo imprescindible para decidir si procede o no iniciar una investigación sobre los hechos denunciados.
En la propia normativa actual de protección de datos se regula cómo debe proceder el responsable del tratamiento para determinar hasta cuándo se pueden tratar los datos personales del denunciante, pero especifica que, transcurridos tres meses desde la introducción de los datos, se deberá efectuar la supresión de tales datos personales del sistema de denuncias internas. Asimismo, en el caso de no dar curso a la denuncia presentada, el responsable del tratamiento de los datos estará obligado a mantener en el anonimato al denunciante cuando transcurra el plazo indicado líneas atrás.
Como decíamos al inicio de este post, tanto si eres la gestora o el gestor de un negocio, o bien trabajas para una organización y tienes dudas acerca de cómo puedes presentar una denuncia interna o cómo debes proceder a su solicitud en el caso de ser el responsable del tratamiento, nuestro equipo de asesores especialistas en LOPD y RGPD estarán encantados de ayudarte. Escribe tus dudas a continuación, en los comentarios, o si lo prefieres contacta directamente con nosotros a través de nuestro formulario de contacto.
Contacta con un abogado experto