Los sistemas internos de denuncias o
“WHISTLEBLOWING”
El concepto Whistle Blowing, en el contexto
profesional de una Organización, consiste en un sistema mediante el cual el personal interno realiza una denuncia de un
mal proceder de dicha organización apelando a un reglamento ya sea
propio de la empresa, normativo jurídico; su código deontológico, su ética
personal, entre otros.
El concepto cuyo origen
proviene del término inglés relativo a la práctica de oficiales de policía que
hacían sonar sus silbatos delante de una comisión de un crimen, servía para alertar al público y otros policías del
peligro. Actualmente, el que hace “sonar el silbato”, es el profesional en
el seno de la organización: Ejemplo de ello es:
El caso en que un empleado denuncia mediante un sistema
de buzones internos, conductas a
través de las cuales se “soborna” a auditores a fin de que maquillen las
cuentas de la empresa; o bien aquellas en que tiene conocimiento de un
directivo que facilita información reservada a terceros.
Recordemos que en todo
caso, los sistemas de “Whistle Blowing” deben ser conformes a
la normativa de protección de datos, y serán revisados en la preceptiva
Auditoría que establece el art. 96 del Reglamento de Desarrollo de la LOPD (RD
1720/2007).
Para ello es necesario
que se respeten los siguientes principios:
1.Información: Tanto los denunciantes como los potenciales
denunciados deberán haber sido informados
previamente de la existencia de estos sistemas, del tratamiento de datos
que implica la formulación de una denuncia, y de las consecuencias que puede
acarrear para el denunciado dicho sistema.
La información podrá hacerse en el contrato de trabajo; estableciendo un
sistema de información si se contrata un servicio
externalizado, como una auditoría, y quepa denunciar los servicios
contratados. Por otro lado también se pueden enviar circulares informativas a los trabajadores y sus representantes.
2.Cesión de datos: La información al personal no solo debe
limitarse a la existencia de un tratamiento, sino que, en caso de que los datos
contenidos en el sistema de denuncias vayan a ser cedidos a una tercera empresa
que investigue el hecho denunciado, también han de ser informados, tanto el denunciado como el denunciante, de
dicha cesión de datos.
Este supuesto también incluye las transferencias internacionales; lo cual
deberá adaptarse a los supuestos en que la Ley permite dicha cesión
internacional.
3.Principio de
Proporcionalidad: La existencia
de estos buzones debe regir un sistema en el que las denuncias se refieran únicamente a hechos que tengan una
efectiva implicación en la relación entre el denunciado y la empresa. En
este sentido deberán concretarse qué acciones podrán ser objeto de denuncia y
el precepto legal o el código interno de conducta al que las denuncias podrán
referirse.
Ejemplo de ello sería aclarar que el
sistema de buzones conocerá de actuaciones que puedan conllevar en la práctica
una sanción al trabajador o empleado
o la resolución de su contrato.
4.IDENTIFICACIÓN Y CONFIDENCIALIDAD: Para garantizar la exactitud de la información que se pone en conocimiento a través
del sistema de buzones, se recomienda aceptar únicamente las denuncias en
que el denunciante aparezca claramente
identificado, no siendo posible
aceptar denuncias anónimas. Por otro lado, la confidencialidad de los datos personales facilitados deberán quedar
a salvo, evitando el acceso a dichos datos de terceros no autorizados (no facilitar como regla general, la
identificación del denunciante al denunciado).
5.GARANTÍAS EN LA CONFIDENCIALIDAD: De lo anterior se desprende la necesidad de
extremar las medidas de seguridad y
confidencialidad que deben implementarse sobre la información tratada a
través de dicho sistema de alertas. El deber
de secreto es una obligación para el Responsable del Fichero y para quienes
intervengan en cualquier fase del tratamiento de datos contemplada en el art.
10 de la LOPD.
Las medidas a adoptar pueden
incluir: 1) Limitar el acceso al
contenido de las denuncias a los usuarios que lleven a cabo la investigación y relacionarlos
en el Documento de Seguridad; 2) Con dichos trabajadores autorizados podrá
reforzarse su documento de
confidencialidad firmado, con especiales medidas disuasorias para el caso
de vulnerarse el deber de secreto; 3) Establecer un sistema de registro de accesos, aunque no
corresponda aplicar las medidas de nivel alto del RLOPD.
6.PLAZOS DE CONSERVACIÓN: La información recabada deberá ser conservada estrictamente durante el
tiempo necesario para la investigación de los hechos; con la salvedad que de
dicha investigación se desprenda la adopción de medidas contra el denunciado,
en cuyo caso podrá ampliarse el
plazo de conservación.
Si de la investigación de los hechos
contra un directivo se desprenden acciones
civiles o labores, será posible conservar los datos una vez acreditada la
realidad de los hechos denunciados en la investigación, y mientras sean necesarios para continuar con las
acciones jurídicas derivadas.
7.DERECHOS A.R.C.O. vs. DERECHO A LA DEFENSA: Los derechos de Acceso, Rectificación,
Cancelación y Oposición contemplados en los art. 15 y ss. de la LOPD, deben ser
garantizados al denunciado, sin que ello
implique el facilitar la identificación del denunciante. No obstante, en
todo caso, el denunciado deberá poder conocer en el menor tiempo posible el
hecho denunciado a fin de poder defender
debidamente sus intereses.
8.NOTIFICACIÓN DE FICHEROS: La creación de ficheros en el marco de estos
sistemas deberá ser notificada al
Registro General de Protección de Datos. Asimismo, en caso de transferencias
internacionales, deberán notificarse y/o obtener autorización de la AEPD.
Lto. Sergio Hurtado Rivera
Legal Consultant
AT Group
No hay comentarios:
Publicar un comentario