+34 93 451 94 41 montoya@attrioabogados.com
El buzón de denuncias y la LOPD. El whistleblowing (II)

Si en el primer post sobre el whistleblsowing se hizo especial referencia a la eficacia de los sistemas de buzón de denuncias en el marco de un modelo de corporate compliance, en esta segunda entrega toca hacer una especial referencia al cumplimiento de la normativa en materia de protección de datos.

La implantación de un sistema de buzón de denuncias está sometido a la LO 15/1999 de Protección de datos por cuanto el mismo contendrá registro de datos personales, tanto del denunciante como denunciado, así como terceros.

Existen algunos aspectos especialmente polémicos sobre los que creo conveniente hacer especial reflexión. Advierto, de antemano, que en este post no es exahaustivo en cuanto a la normativa de la LOPD  sino que simplemnte hago referencia a elementos específicos de un buzón de denuncias interno.Para este pequeño estudio  de la materia he tomado como referencia el Informe 2007/0128 de la AEPD, que, salvo error por mi parte, es el único informe jurídico que hasta la fecha ha emitido la AEPD dedicado a la implantación de un buzón de denuncias. Se trata de un informe anterior a la entrada en vigor del actual artículo 31 bis del Código Penal (responsabilidad penal de las personas jurídicas) y por ello debe servirnos como guía con las debidas precauciones.

1.- Objeto y contenido del sistema de recogida de denuncias: La primera cuestión que se plantea son los límites de un sistema que prevé la recogida de datos de carácter personal sin el consentimiento de las personas denunciadas o de terceros ajenos al denunciante.

En este sentido, la habilitación de un sistema de denuncias sólo podrá estar legitimado en dos supuestos:

  • Cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa (art.6 LOPD)
  • Cuando la cesión está autorizada por una ley (art. 11.1 a) LOPD

En el marco legislativo del año 2007, previo a la entrada en vigor de la reforma del Código Penal, la AEPD no reconocía la autorización legal para el tratamiento de estos datos y los circunscribía a aquellas personas vinculadas contractualmente con la empresa.

Además, el contenido de estas denuncias debe circunscribirse (principio de proporcionalidad del art. 4.1 LOPD) a denuncias que sean necesarias para el desarrollo de la relación contractual. Por ejemplo, no cabría permitir una denuncia por violación de la RSC o de un código ético.

La cuestión a debatir es si la entrada en vigor del artículo 31 bis del Código Penal habilita legalmente para la creación de un sistema de tratamiento de datos de este tipo.

Ciertamente la redacción del precepto es muy deficitaria y se limita a hablar del  debido control sin mayor desarrollo. Desde luego, resulta aventurado afirmar que tal habilitación legal existe.

Sin embargo, el Proyecto de Ley de Reforma del Código Penal contempla la adopción de medidas de prevención que entre otros requisitos:

impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención»

Si el texto se mantiene tras su aprobación, entiendo que ya habrá una clara habilitación legal para la creación de buzones de denuncias de riesgos penales que vayan más allá de los obligados contractualmente.

2.- La cuestión del denunciante anónimo.

El citado informe de la AEPD niega taxativamente la posibilidad de admitir denuncias anónimas, ni siquiera de manera residual por ser contrario al principio de exactitud y veracidad del artículo 4.3 LOPD.

Dice el Informe que:

» A fin de garantizar el cumplimiento del mencionado principio deberá exigirse que el sistema únicamente acepte la inclusión de denuncias en que aparezca identificado el denunciante»

Se trata de una cuestión que ha sido muy polémica en el debate jurídico y que, además, supone una seria traba a la eficacia de estos sistemas de denuncia.

Por ejemplo la Sabarnes-Oxley Act of 2002 hace especial referencia a garantizar el anonimato de las denuncias. Y el Grupo de Trabajo del artículo 29 de la Directiva 95/46/EC (Protección de Datos) reconoce que en estos casos y ante la realidad de este tipo de denuncias es admisible la aceptación de denuncias anónimas de forma excepcional

3.- Confidencialidad y ejercicio de derechos

Como es obvio, el sistema deberá garantizar la confidencialidad de los datos y en especial, dada la imposibilidad de anonimato, debe garantizar que los datos del denunciante no serán transmitidos al denunciado.

El sistema deberá prever un plazo de eliminación de datos que deberá contemplar la tramitación de la investigación interna y, en su caso, la investigación judicial. En ningún caso, el plazo de eliminación deberá ser superior a 2 meses desde que los datos no sean necesarios.

El buzón de denuncias deberá garantizar al denunciado el ejercicio de los derechos contemplados en el artículo 5.1 LOPD en un plazo no superior a los 3 meses, aunque exista riesgo de ocultación de pruebas (es evidente, que el controller  deberá estar atento de agilizar la investigación).  Por supuesto, el derecho de acceso no puede afectar a la identidad del denunciante cuya confidencialidad deberá garantizarse.

En cuanto a las medidas de seguridad que deberán implantarse para garantizar la confidencialidad del tratamiento de los datos serán las correspondientes al nivel alto previstas en el Real Decreto 994/1999 . Esto es así, porque según la AEPD el filtrado de los datos del denunciado en un buzón de estas características le supondría un grave descrédito. Además, al ser un fichero abierto no puede descartarse que en el mismo puedan incluirse datos especialmente protegidos por el artículo 7 LOPD.

Mi conclusión es que en la implantación de medidas de control en el corporate compliance nunca deben perderse de vista la no intromisión en los derechos fundamentales, ya que de lo contrario no solo incurrimos en riesgo de sanciones sino que la investigación penal puede quedar malogarada por nulidad de las pruebas obtenidas.