Pages

lunes, 28 de enero de 2013

LA PROTECCIÓN DE DATOS EN EL DEPARTAMENTO DE RECURSOS HUMANOS


Los sistemas internos de denuncias o “WHISTLEBLOWING”

El concepto Whistle Blowing, en el contexto profesional de una Organización, consiste en un sistema mediante el cual el personal interno realiza una denuncia de un mal proceder de dicha organización apelando a un reglamento ya sea propio de la empresa, normativo jurídico; su código deontológico, su ética personal, entre otros.

El concepto cuyo origen proviene del término inglés relativo a la práctica de oficiales de policía que hacían sonar sus silbatos delante de una comisión de un crimen, servía para alertar al público y otros policías del peligro. Actualmente, el que hace “sonar el silbato”, es el profesional en el seno de la organización: Ejemplo de ello es:      
   
El caso en que un empleado denuncia mediante un sistema de buzones internos, conductas a través de las cuales se “soborna” a auditores a fin de que maquillen las cuentas de la empresa; o bien aquellas en que tiene conocimiento de un directivo que facilita información reservada a terceros.

Recordemos que en todo caso, los sistemas de “Whistle Blowing” deben ser conformes a la normativa de protección de datos, y serán revisados en la preceptiva Auditoría que establece el art. 96 del Reglamento de Desarrollo de la LOPD (RD 1720/2007).

Para ello es necesario que se respeten los siguientes principios:

 1.Información: Tanto los denunciantes como los potenciales denunciados deberán haber sido informados previamente de la existencia de estos sistemas, del tratamiento de datos que implica la formulación de una denuncia, y de las consecuencias que puede acarrear para el denunciado dicho sistema.

La información podrá hacerse en el contrato de trabajo; estableciendo un sistema de información si se contrata un servicio externalizado, como una auditoría, y quepa denunciar los servicios contratados. Por otro lado también se pueden enviar circulares informativas a los trabajadores y sus representantes.

  2.Cesión de datos: La información al personal no solo debe limitarse a la existencia de un tratamiento, sino que, en caso de que los datos contenidos en el sistema de denuncias vayan a ser cedidos a una tercera empresa que investigue el hecho denunciado, también han de ser informados, tanto el denunciado como el denunciante, de dicha cesión de datos.

Este supuesto también incluye las transferencias internacionales; lo cual deberá adaptarse a los supuestos en que la Ley permite dicha cesión internacional.

  3.Principio de Proporcionalidad: La existencia de estos buzones debe regir un sistema en el que las denuncias se refieran únicamente a hechos que tengan una efectiva implicación en la relación entre el denunciado y la empresa. En este sentido deberán concretarse qué acciones podrán ser objeto de denuncia y el precepto legal o el código interno de conducta al que las denuncias podrán referirse.

Ejemplo de ello sería aclarar que el sistema de buzones conocerá de actuaciones que puedan conllevar en la práctica una sanción al trabajador o empleado o la resolución de su contrato.

  4.IDENTIFICACIÓN Y CONFIDENCIALIDAD: Para garantizar la exactitud de la información que se pone en conocimiento a través del sistema de buzones, se recomienda aceptar únicamente las denuncias en que el denunciante aparezca claramente identificado, no siendo posible aceptar denuncias anónimas. Por otro lado, la confidencialidad de los datos personales facilitados deberán quedar a salvo, evitando el acceso a dichos datos de terceros no autorizados (no facilitar como regla general, la identificación del denunciante al denunciado).

  5.GARANTÍAS EN LA CONFIDENCIALIDAD: De lo anterior se desprende la necesidad de extremar las medidas de seguridad y confidencialidad que deben implementarse sobre la información tratada a través de dicho sistema de alertas. El deber de secreto es una obligación para el Responsable del Fichero y para quienes intervengan en cualquier fase del tratamiento de datos contemplada en el art. 10 de la LOPD.

Las medidas a adoptar pueden incluir: 1) Limitar el acceso al contenido de las denuncias a los usuarios que lleven a cabo la investigación y relacionarlos en el Documento de Seguridad; 2) Con dichos trabajadores autorizados podrá reforzarse su documento de confidencialidad firmado, con especiales medidas disuasorias para el caso de vulnerarse el deber de secreto; 3) Establecer un sistema de registro de accesos, aunque no corresponda aplicar las medidas de nivel alto del RLOPD.

  6.PLAZOS DE CONSERVACIÓN: La información recabada deberá ser conservada estrictamente durante el tiempo necesario para la investigación de los hechos; con la salvedad que de dicha investigación se desprenda la adopción de medidas contra el denunciado, en cuyo caso podrá ampliarse el plazo de conservación.

Si de la investigación de los hechos contra un directivo se desprenden acciones civiles o labores, será posible conservar los datos una vez acreditada la realidad de los hechos denunciados en la investigación, y mientras sean necesarios para continuar con las acciones jurídicas derivadas.

  7.DERECHOS A.R.C.O. vs. DERECHO A LA DEFENSA: Los derechos de Acceso, Rectificación, Cancelación y Oposición contemplados en los art. 15 y ss. de la LOPD, deben ser garantizados al denunciado, sin que ello implique el facilitar la identificación del denunciante. No obstante, en todo caso, el denunciado deberá poder conocer en el menor tiempo posible el hecho denunciado a fin de poder defender debidamente sus intereses.

  8.NOTIFICACIÓN DE FICHEROS: La creación de ficheros en el marco de estos sistemas deberá ser notificada al Registro General de Protección de Datos. Asimismo, en caso de transferencias internacionales, deberán notificarse y/o obtener autorización de la AEPD.    


Lto. Sergio Hurtado Rivera
Legal Consultant
AT Group

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...