Sistemes interns de denúncies o “whistleblowing” i protecció de dades


La Agencia Española de Protección de Datos ha publicado recientemente la guía “La protección de datos en las relaciones laborales”. A tenor del análisis que en la misma se hace de los sistemas de denuncias internas o “whistleblowing” podemos destacar los siguientes aspectos a tener en cuenta en el funcionamiento de dichos sistemas en relación a la protección de datos de los interesados.

1. Sujetos obligados:

La Directiva 2019/1937, de protección a los denunciantes de corrupción, relativa a la protección y apoyo de las personas denunciantes de conductas ilegales e infracciones, establece el marco regulatorio para los sistemas de denuncias internas a nivel europeo, por lo que las entidades jurídicas privadas de más de 50 trabajadores o que realicen ciertas actividades, deberán incorporar canales de denuncia interna y procesos de seguimiento de las mismas.

Así las cosas, los trabajadores o personas vinculadas a la compañía que detecten actos o conductas contrarias a la ley o al convenio colectivo aplicable, deben contar con procedimientos online que faciliten la comunicación de su comisión.

2. Base jurídica e información a facilitar:

La base jurídica para el tratamiento de datos personales en sistemas internos de denuncia será el interés público (art. 6.1.e RGPD).

En estos casos, la información a facilitar a los interesados (denunciantes y denunciados) adquiere si cabe más relevancia puesto que habrán debido ser informados, con carácter previo a la utilización del canal, de la existencia de estos sistemas y del tratamiento de datos que conlleva la comunicación de una posible infracción. Las vías para facilitar la información pueden ser diversas:

  1. En el propio contrato de trabajo.
  2. De manera individual o colectiva en el momento de implantar el sistema.
  3. Mediante circulares informativas al personal o a la RLT.

Asimismo, si los datos van a ser comunicados a una tercera empresa, sea del grupo o no, que va a realizar la investigación de los hechos, por ejemplo, los interesados deberán estar informados de ello.

3. Proporcionalidad, limitación y confidencialidad:

El canal de denuncias debe admitir únicamente aquellas relacionadas con hechos que tengan una relación entre empresa y denunciado, debiendo, por tanto, especificarse cuales serán estas conductas susceptibles de ser comunicadas por ejemplo mediante un reglamento interno.

Asimismo, en virtud del principio de limitación de la finalidad, no será posible utilizar la información obtenida vía canal de denuncia con fines distintos a los que motivaron la propia implantación del sistema.

Asimismo, la LOPDyGDD (art. 24) admite la creación de sistemas de denuncias anónimas, en caso contrario, el acceso a los datos que contengan los sistemas debe estar disponible, únicamente, a aquellas personas que gestionen el canal de denuncias o a los encargados que eventualmente tengan acceso a las mismas, todo ello en virtud del principio de confidencialidad. En virtud de ello, deberán adoptarse las medidas de seguridad necesarias que permitan garantizar el deber de secreto.

No obstante, será lícito el acceso a los datos por parte de terceras personas cuando resulte necesario para la adopción de medidas disciplinarias o la interposición de acciones judiciales. En su caso, el personal de recursos humanos únicamente podrá acceder a los datos que se contengan para el inicio de procedimientos disciplinarios contra la persona trabajadora.

4. Plazo de conservación de los datos:

En cuanto al plazo de conservación de los datos personales, deben limitarse al tiempo necesario para realizar la investigación que corresponda y, sólo en el caso de que deban tomarse medidas derivadas de la investigación, los datos podrán conservarse durante un plazo superior.

En cualquier caso, los datos deberán eliminarse transcurridos tres meses desde el acceso de los mismos al canal de denuncias sin que les sea aplicable la obligación de bloqueo, salvo que se pretenda dejar constancia del buen funcionamiento del sistema interno de denuncias para evitar la responsabilidad penal de la persona jurídica.

5. Derechos del denunciado:

El denunciado deberá poder ejercer sus derechos de acceso, rectificación, supresión y oposición sin que por ello deba conocer la identidad del denunciante. La información al denunciado deberá facilitarse tras un tiempo prudencial en que puedan realizarse las investigaciones preliminares necesarias a los efectos de que pueda defender sus intereses.