martes, 12 de enero de 2021

¿Se aceptan denuncias anónimas en Compliance?

Fuente de la imagen: mvc archivo propio
Interesante debate el que se suscitó en la tarde del lunes, en el marco de la webinar sobre protección de datos personales en la que estuve participando, acerca de las denuncias anónimas. Es una cuestión en la que he ido a contracorriente de la mayor parte de la doctrina y, hasta hace poco, de la legislación española. Te explico. Antes de la Ley Orgánica española 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)[1], tanto la anterior normativa como la posición de la Agencia Española de Protección de Datos (AEPD), eran reacios a aceptar las denuncias anónimas. La AEPD consideraba que las empresas no debían informar o promover denuncias anónimas. A más leña, el dictamen WP 117 de la Unión Europea (UE) estimaba que los informes anónimos planteaban un problema específico con respecto al requisito esencial de que los datos personales sólo deberían recopilarse de manera leal. Pues bien, en “Nanai de la China[2], defendía el tratamiento de las denuncias anónimas dentro del canal de denuncias de un corporate compliance. Y después de ir durante casi una década en contra de la opinión general, llegó la LOPDGDD configurando las denuncias internas en el contexto de la protección de datos, nuevo marco que "aprisa y corriendo" y  “a bombo y platillo” (como dice el otro: "no tengo abuela"), referencié en el sitio Protección de Datos, texto “Sistemas de información de denuncias internas[3] y posteriormente en el Sitio Compliance, texto "A vueltas con las denuncias anónimas"[4].

En el artículo 24[5], el legislador establece que será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información. Apunta el legislador que el acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. Igualmente, deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado. Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados. 

En todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista para el bloqueo de los datos[6]. Transcurrido los tres meses, los datos podrán seguir siendo tratados, por el órgano al que corresponda, conforme a lo legislado respecto a la limitación del acceso a los datos[7], la investigación de los hechos denunciados, no conservándose en el propio sistema de información de denuncias internas. Finalmente, todo lo anterior será aplicable a los sistemas de denuncias internas que pudieran crearse en las Administraciones Públicas. A continuación te dejo un video tutorial sobre el canal de denuncias en compliance, perteneciente a los recursos pedagógicos y didácticos adicionales del curso presencial virtual “Compliance para la Pyme y la Micropyme”, alojado en el canal de Youtube. Fuente de la información: BOE.
______________________________________
[1] Boletín Oficial del Estado (BOE) núm. 294 de 06/12/2018.
[2] Velasco Carretero, Manuel. Nanai de la China. 2016. Sitio visitado el 12/01/2021.
[3] Velasco Carretero, Manuel. Sistemas de información de denuncias internas. 2018. Sitio Protección de Datos. Visitado el 12/01/2021.
[4] Velasco Carretero, Manuel. A vueltas con las denuncias anónimas. 2020. Sitio Compliance. Visitado el 12/01/2021.
[5] Art. 24 LOPDGDD.
[6] Art. 32 LOPDGDD.
[7] Art. 24.2 LOPDGDD.