Sistemas de Denuncias Internas en las Organizaciones. El “Whistleblowing”
Domingo, marzo 9, 2008 12:16Hace ya algún tiempo se planteó a la Agencia Española de Protección de Datos (AEPD) una consulta relacionada con el Derecho Laboral Tecnológico. La cuestión planteada versaba sobre la legalidad o no de los sistemas de denuncias internas dentro de las organizaciones y las empresas.
Estos sistemas han sido denominados “Whistleblowing“ y podemos definirlos como sistemas internos de las entidades, encaminados a denunciar los incumplimientos que los empleados de la entidad cometen dentro de su jornada de trabajo. Incluyen los incumplimientos de la normativa interna que la organización hubiera elaborado (Códigos de Conducta, manual de buenas prácticas, sistemas de autorregulación, convenios colectivos,…) y aquella normativa externa que fuera de aplicación a los trabajadores. (Edito para introducir un link relativo al concepto que me ha parecido muy interesante)
Hemos de tener en cuenta que toda entidad con un sistema de denuncias internas como el descrito convierte a sus miembros en potencial denunciante, al mismo tiempo que potencial denuncia (todo dependerá de su grado de responsabilidad y compromiso con la organización…).
El tema en cuestión tiene trascendencia desde varios ámbitos y, cómo no, desde la protección de datos, protección de la intimidad y la seguridad de la información.
Desde el punto de vista de la protección de datos, la AEPD, ante la cuestión planteada, entendió que la trascendencia jurídica de un sistema como el descrito era absoluta, presentando las recomendaciones que posteriormente realizó en la publicación del gabinete jurídico denominada “Creación de sistemas de denuncias internas en las empresas (mecanismos de “whistleblowing”)”.
Como conclusiones principales y recomendaciones básicas a tener en cuenta a la hora de implantar en una organización un sistema de denuncias internas como el descrito, se establece:
Es esencial que el sistema se encuentre amparado en una relación contractual previa.
Para poder tratar los datos personales de cualquier persona, la normativa de protección de datos parte del principio de “consentimiento expreso, informado e inequívoco”, lo que conlleva que sea necesario contar con el consentimiento previo del titular, antes de poder tratar sus datos personales.
Dado que se hace un poco difícil y carece de sentido lógico solicitar el consentimiento previo del denunciado para precisamente denunciarlo, debemos atender a lo dispuesto en el art. 6.2 LOPD, donde se disponen una serie de excepciones para poder tratar los datos personales sin necesidad del consentimiento del titular.
Concretamente, debemos tener en cuenta la previsión dispuesta en el art. 6.2: “No será preciso el consentimiento (…) cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento…”.
Deberá delimitarse perfectamente el tipo de hechos que pueden ser denunciados.
En todo caso, debe mantenerse el justo equilibrio entre el principio de proporcionalidad y la previsión dispuesta en el art. 6.2 respecto al consentimiento del tratamiento de los datos (“No será preciso el consentimiento (…) cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento…).
Por lo tanto, todo sistema de denuncias internas que no hubiera delimitado perfectamente las cuestiones que pueden ser denunciadas y prevea un sistema de denuncias genérico, no se ajustaría al cumplimiento del tratamiento de los datos conforme al principio de proporcionalidad.
Las denuncias deberán ser en todo momento personales (en ningún caso anónimas).
Dada la situación que podría llegar a provocar este tipo de denuncias, es absolutamente esencial que las comunicaciones sean en todo momento confidenciales y con un contenido completamente exacto. Como es lógico, el trabajador denunciado tendrá en todo momento derecho a acceder al fichero en el que se encuentran inscritos sus datos personales, junto a la situación denunciada. Ahora bien, dicho acceso no deberá permitir en ningún caso el conocimiento de los datos del denunciante.
Debe establecerse un plazo máximo para la conservación de los datos relacionados con las denuncias.
En cumplimiento del principio de calidad de los datos, dispuesto en el art. 4 de la LOPD y como medida adicional para preservar la confidencialidad de las comunicaciones, las denuncias realizadas y todos los datos relacionados con las mismas, deberán ser conservados únicamente hasta el momento en el que sean necesarias para tramitar el proceso de investigación interna y, en su caso, hasta la finalización del procedimiento judicial o extrajudicial que se derivara de las mismas.
Por tanto, el fichero de denuncias deberá ser sometido a una labor de mantenimiento y actualización constante, eliminando, o en su caso bloqueando, el acceso a dicha información.
Deber de informar al denunciado.
En riguroso cumplimiento de lo dispuesto en el art. 5.4 de la LOPD, es obligatorio que el titular de los datos, el denunciado, sea informado en todo momento de que sus datos personales han sido tratados.
El plazo legalmente establecido para informar a los titulares de que sus datos están siendo tratados deberá ser siempre “dentro de los tres meses siguientes al momento del registro de los datos”, a excepción de que el titular hubiera sido informado con anterioridad del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a,d y e del artículo 5.1 LOPD.
Por tanto, se recomienda encarecidamente informar al denunciado respecto al tratamiento de sus datos para esta finalidad dentro del plazo legalmente establecido.
Será esencial aplicar las medidas de seguridad que correspondan, conforme al art. 9 LOPD y los artículos 81 y siguientes del Real Decreto 1720/2007. En este sentido, y atendiendo a lo dispuesto por la contestación de la AEPD, será necesario aplicar al fichero el nivel de seguridad que corresponda según los datos que contenga. No obstante, dado que es imposible predecir con certeza el contenido del fichero, por el descrédito que puede suponer para el trabajador denunciado y las consecuencias que puede llegar a tener que se conociera la persona denunciante, hacen recomendable la implantación de medidas de seguridad de, al menos, el nivel medio.
