La llegada de la Ley 2/2023 en España ha marcado un cambio para muchísimas organizaciones, obligándolas a establecer un Sistema Interno de Información (SII), que popularmente conocemos como Canal de Denuncias. La idea es sencilla y poderosa: crear una vía segura y confidencial para que cualquier persona, sin miedo a represalias, pueda alertar sobre posibles irregularidades o fraudes. Pero detrás de esta noble intención se esconde una tarea compleja que tiene que ver con la protección de nuestra información personal. Cuando alguien decide informar de algo o cuando una persona es señalada como presunta responsable, se están manejando datos sensibles: nombres, cargos, hechos concretos, y a veces, incluso detalles que podrían ser muy privados. Aquí es donde entra en juego el Reglamento General de Protección de Datos (RGPD), que no es más que el escudo legal que nos protege a todas y todos (M. Velasco, 2023)[1]. Para que este canal funcione correctamente y sea legal, la organización debe crearlo y justificar ante la ley por qué está manejando esos datos, quién tiene acceso a ellos y cuánto tiempo los va a guardar. Es decir, debe asegurarse de que el Canal de Denuncias, que nace de una obligación legal, no se convierta en una herramienta para tratar nuestra privacidad de forma indebida. Es como construir un puente: no basta con poner los contrafuertes (la obligación de tener el canal); hay que garantizar que el firme (el tratamiento de datos) es totalmente seguro y está certificado para el tráfico.
El RGPD exige que este sistema actúe con una máxima cautela, especialmente en dos aspectos: la legitimación y la retención. En términos sencillos, la legitimación es el permiso legal que tiene la organización para tratar nuestros datos. En este caso, el permiso lo otorga la propia Ley 2/2023, que exige el canal. Sin esta ley, la empresa no podría tratar datos de posibles infractores o informantes de la forma en que lo hace. Un ejemplo muy claro es el tiempo que se guardan los datos: una vez que una denuncia se recibe, si se comprueba que es infundada o que no hay investigación que iniciar, todos los datos que identifican a las personas deben ser borrados o eliminados en un plazo máximo de tres meses. Esto es una garantía enorme para la persona afectada, ya que evita que su nombre quede en un registro sin una razón justificada. Si, por el contrario, la investigación sigue adelante, los datos se guardarán solo el tiempo que sea estrictamente necesario para resolver el caso, y nunca más de diez años para la documentación de archivo. Finalmente, la transparencia es necesaria: tanto la persona que informa como la persona afectada tienen derecho a ser informadas sobre este proceso[2]. Este equilibrio entre la necesidad de investigar y la obligación de proteger la privacidad es el núcleo de la adaptación en protección de datos, garantizando un Canal de Denuncias ético, legal y respetuoso con todos. Fuente de las imágenes: mvc archivo propio.
[2] Por ejemplo, saber quién es la persona responsable de proteger sus datos o cómo pueden ejercer sus derechos de acceso o rectificación, aunque estos derechos pueden ser temporalmente limitados para proteger la investigación.
