Los sistemas internos de denuncias o «Whistleblowing» se suelen configurar mediante la creación de buzones internos a través de los cuales las personas trabajadoras de la compañía, generalmente mediante un procedimiento online, ponen de manifiesto la comisión, en su seno o en la actuación de terceros que contraten con ella, de actos o conductas contrarios a la ley o al convenio colectivo (art. 24 de la LOPDGDD).

La Ley permite estos sistemas, aunque en todo caso deben respetarse los principios básicos de la protección de datos. La base jurídica para el tratamiento de datos es el interés público (art. 6.1.e) del RGPD).

Ejemplo.
Con el fin de hacer frente a una sospecha de robo una empresa implementa un sistema de denuncias que ofrece una recompensa a los empleados cuyas denuncias deriven en la identificación de los responsables. Este tipo de sistemas internos de denuncias suponen un riesgo para la privacidad de los trabajadores, porque pueden fomentar las acusaciones falsas (Dictamen 6/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE del Grupo de Trabajo del Artículo 29).

La información reviste en este caso un carácter primordial. Tanto los denunciantes como los potenciales denunciados deberán haber sido informados previamente de la existencia de estos sistemas y del tratamiento de los datos que conlleva la formulación de una denuncia.

La información puede proporcionarse por varios cauces:

  • Directamente en el contrato de trabajo.
  • Individual o colectivamente al implementar o modificar el sistema.
  • Mediante circulares informativas al personal y a su representación informando de la existencia y finalidad de un tratamiento de datos relacionado con estos buzones o sistemas de denuncias.

Si los datos contenidos en los Los sistemas internos de denuncias o «Whistleblowing» fueran a ser transmitidos a una tercera compañía que investigue el hecho denunciado se producirá una comunicación de datos, de la que el afectado, tanto el denunciante como el denunciado, deberá ser debidamente informado. Esta misma información deberá referirse, en su caso, a la posible transferencia internacional de datos a otras empresas del grupo.

Ejemplo.
Cuando las denuncias sobre vulneración de las normas de protección de datos son transmitidas al “Chief Privacy Officer” que se encuentra en la matriz del grupo.

La existencia de estos buzones debe respetar el principio de proporcionalidad, de forma que las denuncias se refieran únicamente a supuestos en que los hechos o actuaciones tengan una efectiva implicación en la relación entre la empresa y el denunciado, concretando así qué acciones deberán ser objeto de denuncia y especificando las normas a las que las denuncias podrán referirse, normas que podrían estar recogidas en códigos internos de conducta.

Ejemplo.
En sistemas concernientes al personal, sería necesario que los buzones de denuncias se refiriesen a actuaciones que pudieran conducir a una sanción a la persona trabajadora, o inclusive a la resolución de su contrato.

Ha de respetarse el principio de limitación de la finalidad, por lo que no cabe utilizar la información obtenida por esta vía con fines distintos a los que motivaron la implementación del sistema.

La LOPDGDD admite sistemas de denuncias anónimas. En caso de que la denuncia no sea anónima, la confidencialidad de la información del denunciante debe quedar a salvo, no facilitándose su identificación al denunciado.

Precisamente, como consecuencia de lo anterior, será necesario adoptar medidas que proporcionen la adecuada seguridad y confidencialidad de la información, pudiendo implementarse medidas reforzadas de seguridad y extremando las cautelas que garanticen el cumplimiento del deber de secreto.

El acceso a los datos debe limitarse exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento, o al encargado del tratamiento, que eventualmente se designen a tal efecto.

Únicamente será lícito el acceso de otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan.

Ejemplo.
Pueden adoptarse medidas como:

    • Limitar el acceso al contenido de las denuncias a los usuarios que lleven a cabo la investigación y relacionarlos en el documento de seguridad.
    • Establecer un sistema de registro de accesos.
    • Firma de compromisos reforzados de confidencialidad con los usuarios autorizados, con especiales medidas disuasorias para el caso de vulnerarse el deber de secreto.

El personal con funciones de gestión y control de recursos humanos sólo podrá acceder a dichos datos en caso de procedimientos disciplinarios contra una persona trabajadora, sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo.

La conservación del dato debe limitarse al tiempo necesario para la investigación de los hechos y, sólo en caso de que de aquélla se desprenda la adopción de determinadas medidas contra el denunciado, sería posible conservar los datos por un plazo superior, debiendo eliminarse en caso contrario. En todo caso, los datos deben suprimirse transcurridos tres meses desde su introducción en el sistema de denuncias sin que se aplique la obligación de bloqueo, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la
comisión de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada.

Ejemplo.
En caso de que la investigación de una denuncia contra un directivo pueda dar lugar a un procedimiento de despido o a la exigencia de responsabilidades civiles sí será posible tratar los datos una vez acreditada en la investigación la realidad de los hechos denunciados en tanto persista la posibilidad de interponer acciones civiles o laborales. No obstante, los datos no pueden conservarse en el propio sistema de información de denuncias internas.

Deberán garantizarse los derechos de acceso, rectificación, supresión y oposición del denunciado, sin que ello implique revelar la identidad del denunciante. En todo caso, el denunciado debería poder conocer en el menor tiempo posible el hecho que se le imputa a fin de poder defender debidamente sus intereses.

Aclaración.
Debe facilitarse al denunciado esta información tras un tiempo prudencial en que se lleve a cabo la investigación preliminar de los hechos.