Sistemas de Denuncias Internas en las Organizaciones. El “Whistleblowing”

Hace ya algún tiempo se planteó a la Agencia Española de Protección de Datos (AEPD) una consulta relacionada con el Derecho Laboral Tecnológico. La cuestión planteada versaba sobre la legalidad o no de los sistemas de denuncias internas dentro de las organizaciones y las empresas.

Estos sistemas han sido denominados “Whistleblowing“ y podemos definirlos como sistemas internos de las entidades, encaminados a denunciar los incumplimientos que los empleados de la entidad cometen dentro de su jornada de trabajo. Incluyen los incumplimientos de la normativa interna que la organización hubiera elaborado (Códigos de Conducta, manual de buenas prácticas, sistemas de autorregulación, convenios colectivos,…) y aquella normativa externa que fuera de aplicación a los trabajadores. (Edito para introducir un link relativo al concepto que me ha parecido muy interesante)

Hemos de tener en cuenta que toda entidad con un sistema de denuncias internas como el descrito convierte a sus miembros en potencial denunciante, al mismo tiempo que potencial denuncia (todo dependerá de su grado de responsabilidad y compromiso con la organización…).

El tema en cuestión tiene trascendencia desde varios ámbitos y, cómo no, desde la protección de datos, protección de la intimidad y la seguridad de la información.

Desde el punto de vista de la protección de datos, la AEPD, ante la cuestión planteada, entendió que la trascendencia jurídica de un sistema como el descrito era absoluta, presentando las recomendaciones que posteriormente realizó en la publicación del gabinete jurídico denominada “Creación de sistemas de denuncias internas en las empresas (mecanismos de “whistleblowing”)”.

Como conclusiones principales y recomendaciones básicas a tener en cuenta a la hora de implantar en una organización un sistema de denuncias internas como el descrito, se establece:

Es esencial que el sistema se encuentre amparado en una relación contractual previa.

Para poder tratar los datos personales de cualquier persona, la normativa de protección de datos parte del principio de “consentimiento expreso, informado e inequívoco”, lo que conlleva que sea necesario contar con el consentimiento previo del titular, antes de poder tratar sus datos personales.

Dado que se hace un poco difícil y carece de sentido lógico solicitar el consentimiento previo del denunciado para precisamente denunciarlo, debemos atender a lo dispuesto en el art. 6.2 LOPD, donde se disponen una serie de excepciones para poder tratar los datos personales sin necesidad del consentimiento del titular.

Concretamente, debemos tener en cuenta la previsión dispuesta en el art. 6.2: “No será preciso el consentimiento (…) cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento…”.

Deberá delimitarse perfectamente el tipo de hechos que pueden ser denunciados.

En todo caso, debe mantenerse el justo equilibrio entre el principio de proporcionalidad y la previsión dispuesta en el art. 6.2 respecto al consentimiento del tratamiento de los datos (“No será preciso el consentimiento (…) cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento…).

Por lo tanto, todo sistema de denuncias internas que no hubiera delimitado perfectamente las cuestiones que pueden ser denunciadas y prevea un sistema de denuncias genérico, no se ajustaría al cumplimiento del tratamiento de los datos conforme al principio de proporcionalidad.

Las denuncias deberán ser en todo momento personales (en ningún caso anónimas).

Dada la situación que podría llegar a provocar este tipo de denuncias, es absolutamente esencial que las comunicaciones sean en todo momento confidenciales y con un contenido completamente exacto. Como es lógico, el trabajador denunciado tendrá en todo momento derecho a acceder al fichero en el que se encuentran inscritos sus datos personales, junto a la situación denunciada. Ahora bien, dicho acceso no deberá permitir en ningún caso el conocimiento de los datos del denunciante.

Debe establecerse un plazo máximo para la conservación de los datos relacionados con las denuncias.

En cumplimiento del principio de calidad de los datos, dispuesto en el art. 4 de la LOPD y como medida adicional para preservar la confidencialidad de las comunicaciones, las denuncias realizadas y todos los datos relacionados con las mismas, deberán ser conservados únicamente hasta el momento en el que sean necesarias para tramitar el proceso de investigación interna y, en su caso, hasta la finalización del procedimiento judicial o extrajudicial que se derivara de las mismas.

Por tanto, el fichero de denuncias deberá ser sometido a una labor de mantenimiento y actualización constante, eliminando, o en su caso bloqueando, el acceso a dicha información.

Deber de informar al denunciado.

En riguroso cumplimiento de lo dispuesto en el art. 5.4 de la LOPD, es obligatorio que el titular de los datos, el denunciado, sea informado en todo momento de que sus datos personales han sido tratados.

El plazo legalmente establecido para informar a los titulares de que sus datos están siendo tratados deberá ser siempre “dentro de los tres meses siguientes al momento del registro de los datos”, a excepción de que el titular hubiera sido informado con anterioridad del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a,d y e del artículo 5.1 LOPD.

Por tanto, se recomienda encarecidamente informar al denunciado respecto al tratamiento de sus datos para esta finalidad dentro del plazo legalmente establecido.

Será esencial aplicar las medidas de seguridad que correspondan, conforme al art. 9 LOPD y los artículos 81 y siguientes del Real Decreto 1720/2007. En este sentido, y atendiendo a lo dispuesto por la contestación de la AEPD, será necesario aplicar al fichero el nivel de seguridad que corresponda según los datos que contenga. No obstante, dado que es imposible predecir con certeza el contenido del fichero, por el descrédito que puede suponer para el trabajador denunciado y las consecuencias que puede llegar a tener que se conociera la persona denunciante, hacen recomendable la implantación de medidas de seguridad de, al menos, el nivel medio.

Entrada publicada en el Blog de la Seguridad de la Información del Instituto Nacional de las Tecnologías de la Comunicación.

Normativa relacionada con la Digitalización Certificada

Desde hace tiempo llevo trabajando en temas relacionados con facturación electrónica y digitalización certificada. De hecho, ahora mismo me encuentro realizando un estudio de todas las referencias que existen en las normas nacionales e internacionales en materia de digitalización certificada. Me ha parecido interesante hacer un post con toda la normativa nacional que tiene relación con la materia de digitalización certificada de documentos en papel. No obstante, todas estas normas, poco a poco voy a ir subiéndolas al apartado de Legislación con su link correspondiente para que las tengáis accesibles.

  • A. Orden EHA/962/2007, de 10 de abril de 2007 (Artículo 7)
  • B. Resolución de 24 de octubre de 2007, de la Agencia Estatal de Administración Tributaria, sobre procedimiento para la homologación de software de digitalización.
  • C. Norma derogada. Orden HAC/3134/2002, de 5 de diciembre, sobre un nuevo desarrollo del régimen de facturación telemática previsto en el artículo 88 de la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido, y en el artículo 9 bis del Real Decreto 2402/1985, de 18 de diciembre.
  • D. Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. (Art. 33 y 35)
  • E. Ley 30/2007, de 30 de octubre, de Contratos del Sector Público.
  • F. Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
  • G. Real Decreto 1624/1992, de 29 de Diciembre. (art. 62 y ss)
  • H. Real Decreto 1496/2003, de 28 de noviembre, por el que se aprueba el Reglamento por el que se regulan las obligaciones de facturación, y se modifica el Reglamento del Impuesto sobre el Valor Añadido.
  • I. Real Decreto 1624/1992, de 29 de diciembre, que aprueba el Reglamento del Impuesto sobre el Valor Añadido y modifica el Real Decreto 1041/1990, de 27 de julio, sobre declaraciones censales, el Real Decreto 338/1990, de 9 de marzo, sobre el Número de Identificación Fiscal; el Real Decreto 2402/1985, de 18 de diciembre sobre el deber de expedir y entregar factura (los empresarios y profesionales), y el Real Decreto 1326/1987, de 11 de septiembre, sobre aplicación de la Directivas de la Comunidad.