El próximo 17 de diciembre entrarán en vigor las disposiciones de la Directiva 2019/1937, relativa a la Protección de las Personas que informen sobre infracciones del Derecho de la Unión. España tiene un plazo de 2 años para transponer esta Directiva en relación con entidades del sector privado que tengan entre 50 a 249 trabajadores.
Hay algunas cuestiones a tener en cuenta relativas a la seguridad de la información y protección de datos.
Los canales de denuncias deben estar en posición de garantizar:
- La confidencialidad del denunciante mediante sistemas de comunicación eficaces.
- Cualquier represalia directa o indirecta contra el denunciante.
La Circular 1/2016, FGE recoge que “…resulta imprescindible que la entidad cuente con una regulación protectora específica del denunciante (whistleblower), que permita informar sobre incumplimientos varios, facilitando la confidencialidad mediante sistemas que la garanticen en las comunicaciones (llamadas telefónicas, correos electrónicos…) sin riesgo a sufrir represalias.”
En relación con la posibilidad de realizar denuncias anónimas, la cuestión ha sido zanjada a través del artículo 24.1 de la LOPD donde se recoge esta posibilidad, y esto a pesar del informe jurídico de la AEPD 128/2007, en el que se recomendaba evitar este procedimiento de denuncias.
Por otro lado, cuando el denunciante no optase por el anonimato, se impondrá el deber de preservar la identidad de éste, así como garantizar la confidencialidad del denunciante; los datos se han de conservar en el sistema el tiempo estrictamente imprescindible para averiguar los hechos denunciados, con un límite de 3 meses, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica.
Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el art. 32 RGPD. Transcurridos los 3 meses, los datos podrán ser tratados por el OCI o los encargados de tratamiento designado a dichos efectos para la investigación de los hechos denunciados, pero no se conservará en el propio sistema de información de denuncias internas.
Se ha de asegurar que los canales de denuncias cumplen las medidas técnicas y organizativas requeridas conforme al art. 32 del RGPD para garantizar los derechos mencionados.
Formas de comunicar la existencia del canal de denuncias interno
Los titulares de los datos personales deben ser informados tanto de la existencia del canal de denuncias, como del tratamiento de sus datos personales en relación a cualquier denuncia en la que se vean involucrados.
El Supervisor Europeo de Protección de Datos (SEPD) establece que la información ha de ser facilitada en dos fases:
- En una primera fase, se deberá cumplir con el deber de información del art. 13 RGPD con relación a la existencia del canal de denuncias implantado.
- En una segunda fase, en el momento en que se reciba una denuncia, se deberá informar a cada una de las partes involucradas conforme al art. 13 RGPD (denunciante, denunciado, testigos y terceros afectados).
En los supuestos en que los datos personales se hayan obtenido de terceras partes, el RGPD en su art.14.3 a) establece lo siguiente: dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos.
Sin embargo, este plazo podrá alargarse hasta los tres meses, en aquellos casos en los que se deba realizar una investigación prolongada, por lo que éste debería ser el plazo máximo de comunicación al interesado.
Si desea ampliar la presente información, no dude en ponerse en contacto con nuestro despacho enviando un email a contacto@selierabogados.com o bien llamando al 91.205.44