Compliance, canales internos de denuncias y gestión de datos personales
Consulta a la Agencia Española de Protección de Datos de 22 de noviembre de 2021
Capsulas Nº 223
Los canales internos de denuncias o “whistleblowing channels” tienen un papel cada vez más relevante en el ámbito del compliance. Desde 2010 el Código Penal (art. 31 bis) prevé que las personas jurídicas puedan quedar exentas de responsabilidad (o, en su caso, dicha responsabilidad se vea atenuada) por algunos delitos cometidos por sus administradores, directivos o empleados, si han adoptado y ejecutado con eficacia, antes de la comisión del delito, las oportunas “medidas de vigilancia y control”. Estas medidas se integran en los denominados “programas de prevención de delitos” o “sistemas de compliance”. Una de estas medidas consiste en disponer de un canal de denuncias que permita informar de los posibles riesgos o incumplimientos que puedan detectarse en el seno de la empresa.
Conviene recordar que la “Directiva Whistleblowing” (Directiva 2019/1937) obliga a las entidades del sector privado con más de 50 trabajadores, y a todas las del sector público, a contar con un canal de denuncias. Aunque el plazo para implementar esta Directiva finalizó el pasado 17 de diciembre y España aún no lo hecho, es conveniente que las compañías dispongan de las medidas necesarias para cumplir con lo establecido en esta norma., ya sea para la creación de dicho canal, o bien, en caso de disponer de uno, adaptando el existente a los nuevos estándares.
Canal de denuncias y datos personales
Diversas normas, guías y directrices han ido perfilando cómo deben organizarse estos canales. Así, la Ley Orgánica 3/2018, de Protección de Datos Personales (art. 24) ha regulado el tratamiento de los datos personales en estos canales. Un aspecto importante es durante cuánto tiempo pueden conservarse tales datos. La Ley prevé que los datos deberán suprimirse transcurridos 3 meses desde su introducción en el sistema de denuncias. No obstante, el pasado 22 de noviembre la Agencia Española de Protección de Datos (AEPD), en respuesta a una consulta de la Asociación Española de Compliance, ha aclarado que en caso de que la denuncia pueda considerarse fundada y dé lugar a una concreta investigación los datos podrán mantenerse más allá de los 3 meses, pero ello deberá hacerse no en el sistema de información de denuncias sino en otros sistemas de la compañía (ya sean del comité de compliance, o del órgano que tenga a cargo la gestión de recursos humanos).
Asimismo, la AEPD recuerda que en su guía sobre protección de datos en las relaciones laborales, de mayo 2021, también analiza estos y otros aspectos de interés. Así, por ejemplo, aclara que es primordial que los trabajadores estén informados de la existencia del canal de denuncias y del tratamiento de los datos que conlleva la formulación de una denuncia. Esta información se puede facilitar bien directamente en el contrato de trabajo, o por ejemplo mediante circulares informativas al personal.