+ INFORMACIÓN

¡Comparte en redes sociales!

Whistleblowing y protección de datos

El whistleblowing es un término anglosajón asociado a la formulación de denuncias a través de un canal específico por parte de un trabajador que ha presenciado o tiene conocimiento de la comisión de un presunto delito en su centro de labores. Por su parte, el órgano Supervisor Europeo de Protección de Datos ha establecido que el objetivo de esta denuncia de irregularidades es arrojar luz sobre la corrupción proporcionando canales seguros para que el personal u otros informantes denuncien comportamientos no éticos. Dichos procedimientos requieren el procesamiento de información personal confidencial relacionada con presuntos infractores, denunciantes y otras partes, como testigos[i]. Las instituciones y órganos de la UE están obligados a establecer procedimientos claros de denuncia de irregularidades, minimizando los riesgos posibles en la protección de datos personales de todos los involucrados.

En un enfoque práctico, un sector de la doctrina ha señalado que “es habitual emplear el término whistleblowing para hacer referencia, tanto a los sistemas internos de alerta o canales de denuncia corporativos para tramitar las citadas denuncias, como a la propia práctica consistente en denunciar dichos incumplimientos. El hecho de disponer de un sistema de whistleblowing constituye una muestra de buen gobierno y evidencia el compromiso, así como contribuye notablemente a reducir potenciales riesgos y sanciones de las empresas por incumplimientos que se hayan producido bajo su esfera de tutela”[ii].

En nuestra normativa, esta temática se recoge por primera vez en el apartado 2 del art. 31 bis Código Penal formulando el deber de “informar de posibles riegos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención”. Actualmente destacan:

  • Norma ISO 19600, sobre Sistemas de Gestión de Compliance.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantías de derechos digitales. Específicamente, el art. 24: “Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información (…)”.
  • Dictamen Nº 1/2006 del Grupo de Trabajo del artículo 29 cuyo contenido señala expresamente la importancia de “Aplicar las normas de protección de datos de la Unión Europea a los programas de denuncias de irregularidades supone otorgar una consideración específica a la cuestión de la protección de datos de la persona que puede haber sido incriminada en una alerta. En ese sentido, el Grupo de Trabajo enfatiza que los programas de denuncias de irregularidades conllevan un riesgo muy grande de estigmatización y vejación de dicha persona dentro de la organización a la que pertenece”.
  • Informe jurídico de la Agencia Española de Protección de Datos (AEPD) Nº 128/2007. En este documento se analiza la legalidad de un sistema de denuncia interna o whistleblowing conforme a la normativa de protección de datos vigente (ex Ley Orgánica 15/1999, de 13 de diciembre), en vista del tratamiento de datos personales contenidos en la denuncia de un presunto delito.
  • Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión[iii].

El Grupo de Trabajo enfatiza que los programas de denuncia de irregularidades deben establecerse cumpliendo con las normas de protección de datos de la Unión Europea. El dictamen en cuestión expuso que el whistleblowing fue diseñado como un complemento de los canales de información habituales de la organización, tales como los representantes de los trabajadores, los mandos directivos, el personal de control de calidad o los auditores internos, cuya función es precisamente denunciar esos incumplimientos. El whistleblowing deberá verse como un complemento, y no como un sustituto, de la gestión y comunicación interna del negocio.

La importancia de proteger la identidad del trabajador denunciante recae en el que el mismo no padezca represalias de sus superiores inmediatos o cualquier otra persona involucrada en el hecho delictivo objeto de denuncia. Se pretende que en virtud del poder control del empresario no se omita la denuncia o correspondiente investigación de presuntos hechos delictivos, para ello conviene equilibrar la posición del trabajador a fin de que predomine su deber de preservar la justicia social sobre su miedo a perder su empleo. Caben diferentes métodos por los cuales una empresa puede proteger los canales de denuncias, por un lado puede proceder con la anonimización de la identidad de los denunciantes, de tal modo que el Compliance Officer tome conocimiento únicamente del evento irregular denunciado. La utilización de este mecanismo aunque es más seguro con los denunciantes, puede generar falsas denuncias o la ausencia de información necesaria para continuar con una investigación minuciosa.

Entre las diversas cuestiones que aborda el Dictamen 1/2006, es importante señalar que el Grupo del artículo 29 no favorece el empleo de denuncias anónimas en los procesos de whistleblowing. Y ello porque (i) el anonimato no conseguiría disuadir a los interesados de conocer quién realizó la denuncia; (ii) es más compleja la investigación de un asunto si el denunciante no puede contestar dudas en el seguimiento de la denuncia; (iii) es más fácil organizar la protección del whistleblower contra la represalia, especialmente si esa protección se confiere por la ley, cuando las denuncias se efectúan de manera abierta; (iv) las denuncias anónimas pueden llevar la atención o enfoque a quién es el whistleblower; (v) se corre el riesgo de desarrollar una cultura de efectuar denuncias anónimas; y (vi) podría deteriorarse el clima social si los empleados advierten que pueden ser denunciados de manera anónima en cualquier momento[iv]. Por estas razones, el Grupo del artículo 29 concluye que el método anónimo colisiona con el principio esencial de recolección justa de los datos y, en consecuencia, como regla general dispone que deberían admitirse denuncias identificadas en los procedimientos de whistleblowing[v].

Es decir, atendiendo a la normativa citada y los pronunciamientos de la AEPD es preciso tener en cuenta lo siguiente:

  • Los empleados y terceros deberán ser informados de la existencia de canales de denuncia y sistemas de información.
  • El acceso a los datos contenidos en estos sistemas será de acceso exclusivo del Compliance Officer y/o aquellos que desempeñen funciones de control interno dentro del negocio.
  • Se establecerá un procedimiento garantista y confidencial que no exponga innecesariamente a las personas involucradas. Ello incluirá la adopción de medidas pertinentes para preservar la identidad y minimizar el tratamiento de los datos personales de las personas afectadas

[i] EUROPEAN DATA PROTECTION SUPERVISOR, Whistleblowing, Recuperado en: https://edps.europa.eu/data-protection/our-work/subjects/whistleblowing_en?page=1, consultado el 21/09//2020.

[ii] REYES HERREROS, Juan y ARLÁ CAPDEVILA, María; “La protección de los whistleblowers en el ámbito del Derecho Laboral”, Fiscal & Laboral al día, n.º 265, 2018, p. 96-101.

[iii] Una lista pormenorizada de normativa y comentarios sobre este tema podemos encontrarlo en CAPEÁNS AMENEDO, Catarina; Derecho del Trabajo y Nuevas tecnologías, Conflicto entre las tecnologías de información y comunicación y el derecho a la intimidad y propia imagen, 1ª edición, Colex 2020, p. 39-40.

[iv] MARTÍNEZ SALDAÑA, David; MORENO LUCENILLA, Ignacio; “La protección del whistleblower y el compliance laboral” en Revista de Información Laboral nº 12/2018, editorial Aranzadi.

[v] Al respecto, el art. 24 LOPDGDD admite la posibilidad de presentar denuncias anónimas, pero ha de tenerse presente el criterio mantenido por el Grupo del artículo 29. En todo caso la confidencialidad debe quedar resguardada estableciéndose como regla general la confidencialidad de los datos personales del denunciante.

¿Quieres especializarte en Dirección de Compliance y protección de datos?

El Máster en Dirección de Compliance & Protección de datos te convertirá en un profesional de alta cualificación con las competencias necesarias para realizar tareas especializadas en dos de las áreas más relevantes tanto para empresas privadas como para administraciones públicas: la protección de datos y el cumplimiento normativo o Compliance.

Abogada especialista en protección de datos y seguridad de la información

Suscríbete a nuestra newsletter para estar al día de todas las novedades

Información básica sobre protección de datos.
Responsable del tratamiento: Mainjobs Internacional Educativa y Tecnológica S.A.U
Finalidad: Gestionar su suscripción a la newsletter.
Legitimación para el tratamiento: Consentimiento explícito del interesado otorgado al solicitar la inscripción.
Cesión de datos: No se cederán datos a terceros, salvo obligación legal.
Derechos: Podrá ejercitar los derechos de Acceso, Rectificación, Supresión, Oposición, Portabilidad y, en su caso Limitación, como se explica en la información adicional.
Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos en https://www.mainfor.edu.es/politica-privacidad
Blog Master Dpo

Deja un comentario