Canales de denuncia interna o mecanismos de Whistleblowing en las relaciones laborales

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Laboral
  • Fecha última revisión: 14/02/2020

Las personas que trabajan para una organización pública o privada o están en contacto con ella en el contexto de sus actividades laborales son a menudo las primeras en tener conocimiento de amenazas o perjuicios para el interés público que surgen en ese contexto. Al informar sobre infracciones, dichas personas actúan como denunciantes (en inglés conocidas coloquialmente por whistleblowers) y por ello desempeñan un papel clave a la hora de descubrir y prevenir esas infracciones y de proteger el bienestar de la sociedad. Sin embargo, los denunciantes potenciales suelen renunciar a informar sobre sus preocupaciones o sospechas por temor a represalias. En este contexto, el Derecho de la Unión ha establecido mecanismos de protección de los denunciantes mediante la denominada Directiva whistleblowing.

NOVEDAD

- Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (en inglés conocida coloquialmente por Whistleblowing). Los Estados miembros pondrán en vigor las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a su contenido a más tardar el 17 de diciembre de 2021. No obstante, para las entidades jurídicas del sector privado que tengan de 50 a 249 trabajadores, los Estados miembros pondrán en vigor, a más tardar el 17 de diciembre de 2023. 

1. Antecedentes

El origen del término whistleblower se remonta a la práctica de los oficiales de policía británicos que hacían sonar sus silbatos (whistle) soplando (blow), cuando presenciaban la comisión de un presunto delito. Mediante esta acción, alertaban a los ciudadanos así como a otros policías del peligro.

En el contexto actual puede referirse a cualquier persona que trabajando en sectores públicos o privados, denuncia un hecho constitutivo de delito, peligro o fraude, y que está siendo silenciado. 

En España, la introducción de este tipo de herramientas, propias de la cultura del whistleblowing anglosajón, se introduce por primera vez en apdo. 2 del art. 31 bis Código Penal, en el que se impone la obligación de «informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención». Tras esta norma destacan:

- Norma ISO 19600:2014 sobre Sistemas de Gestión de Compliance-Directrices.. 

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

- Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (art. 18).

30px; text-align: justify;">- Código Penal (art. 31 bis 1 b) en relación al deber de supervisión, vigilancia y control). STS Nº 154/2016, Sala de lo Penal, Sección 1, Rec 10011/2015 de 29 de febrero de 2016, Ecli: ES:TS:2016:613 STS Nº 221/2016, Sala de lo Penal, Sección 1, Rec 1535/2015 de 16 de marzo de 2016, Ecli: ES:TS:2016:966.

- Reglamento (UE) nº 596/2014 del Parlamento Europeo y del Consejo, de 16 de abril de 2014 sobre el abuso de mercado (Reglamento MAR).

- Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014 relativa a los mercados de instrumentos financieros (Directiva MiFID II).

- Reglamento (UE) 600/2014 del Parlamento Europeo y del Consejo de 15 de mayo de 2014 relativo a los mercados de instrumentos financieros

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres.

- Dictamen nº 1/2006 del Grupo de trabajo del artículo 29.  En el citado documento, el Grupo de Trabajo señalaba que “Aplicar las normas de protección de datos de la Unión Europea a los programas de denuncia de irregularidades supone otorgar una consideración específica a la cuestión de la protección de la persona que pueda haber sido incriminada en una alerta. En este sentido, el Grupo de Trabajo enfatiza que los programas de denuncia de irregularidades conllevan un riesgo muy grave de estigmatización y vejación de dicha persona dentro de la organización a la que pertenece. La persona estará expuesta a tales riesgos incluso antes de saber que ha sido incriminada y de que los supuestos hechos se hayan investigado para determinar o no su fundamento”. Asimismo, se concluía que “El Grupo de Trabajo es de la opinión de que una correcta aplicación de las normas de protección de datos a los programas de denuncia de irregularidades contribuirá a paliar dichos riesgos. También es de la opinión de que, lejos de evitar que dichos programas funcionen de conformidad con su objetivo pretendido, la aplicación de dichas normas, por lo general, contribuirá a un funcionamiento adecuado de los programas de denuncia de irregularidades”.

- Informe jurídico de la Agencia Española de Protección de Datos (AEPD) nº 128/2007. El Gabinete Jurídico de la Agencia Española de Protección de Datos, analiza la legalidad de un sistema de denuncia interna (whistleblowing) conforme a la normativa española en materia de protección de datos (ex Ley Orgánica 15/1999, de 13 de diciembre), puesto que estos sistemas afectan a datos de carácter personal, tanto del denunciante como del denunciado.

- Norma UNE 19601:2017. Sistemas de gestión de compliance penal. Requisitos con orientación para su uso.

- Circular 1/2016, de 22 de enero, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015.

2. Canales de denuncia e instrumentos

En cualquier canal de denuncias se debe garantizar que cualquier denunciante (en general, los empleados de la empresa) encuentre protección.  

En el caso de que la denuncia no sea anónima se puede canalizar esta herramienta de denuncias a través del Compliance Officer, de modo que solo este profesional sea el que conozca la identidad del denunciante y el hecho o conducta denunciados. De este modo, la investigación es más sencilla, pues será posible establecer una entrevista privada con esta persona para comenzar con la fase de instrucción.

En el supuesto de que optemos por un sistema de denuncias anónimas la alternativa a esta manera de configurar el canal de denuncias pasa por anonimizar la identidad de los denunciantes, de modo que el Compliance Officer no sepa quien ha sido el que ha alertado el hecho, sino tan solo el contenido del hecho irregular. En este caso, no es posible determinar de modo inmediato a quién le podemos pedir más detalles o formular cuestiones concretas sobre el contenido de su aviso. En el caso de que se opte por esta alternativa y proliferen las falsas denuncias, se debe poner en marcha un protocolo de inhibición del impacto en el propio canal, como la incorporación de medidas disciplinarias correctoras o la investigación de indicios de falsedad.

Caben diferentes métodos a elección de la empresa y sus necesidades. Así, será posible canalizar las denuncias a través de un correo electrónico concreto, a una extensión telefónica o una aplicación interna diseñada al efecto. Siguiendo las directrices aportadas en su momento por el Informe jurídico de la Agencia Española de Protección de Datos (AEPD) nº 128/2007, los requisitos del Whistleblowing o canal de denuncia interna han de ser:

3. Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión

La Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión ha sido publicada el 26 de noviembre de 2019 en el DOUE, con el objetivo de buscar nuevos canales eficientes contra la delincuencia y la corrupción.

Como establece el considerando (1) de la norma, las personas que trabajan para una organización pública o privada o están en contacto con ella en el contexto de sus actividades laborales son a menudo las primeras en tener conocimiento de amenazas o perjuicios para el interés público que surgen en ese contexto. Al informar sobre infracciones del Derecho de la Unión que son perjudiciales para el interés público, dichas personas actúan como denunciantes (en inglés coloquialmente whistleblowers) y por ello desempeñan un papel clave a la hora de descubrir y prevenir esas infracciones y de proteger el bienestar de la sociedad. Sin embargo, los denunciantes potenciales suelen renunciar a informar sobre sus preocupaciones o sospechas por temor a represalias. En este contexto, es cada vez mayor la necesidad de prestar una protección equilibrada y efectiva a los denunciantes.

Entre las novedades del texto europeo encontraremos:

  • Se aplicará sobre determinadas infracciones como, las relativas a contratación pública, mercados financieros, seguridad sanitaria e intimidad personal.

  • La obligación de existencia de un canal interno de denuncias será obligatorio para las entidades públicas, pero también alcanzará a las empresas privadas con 50 o más personas trabajadoras.

  • Las líneas de denuncia han de cumplir requisitos como: garantías de confidencialidad y tramitación diligente; acuse de recibo; el establecimiento de unos plazos concretos y razonables; o la designación de personas imparciales para tramitar las denuncias.

  • Agotados los cauces internos se procederá a emplear los cauces externos.

  • Se otorga protección a las personas que realicen revelaciones públicas siempre que la infracción puede suponer un peligro para el interés público, inminente o manifiesto, o exista riesgo de represalias o pocas probabilidades de que se solucione la infracción si se emplean medios externos convencionales.

  • Se establece un catálogo de represalias prohibidas, que incluyen amenazas, despidos, degradaciones, discriminación, daños a la reputación, etc.

¿A quién afecta la obligación de establecimiento de canales de denuncia interna?

En virtud del artículo 8 de la norma, la necesidad de un canal interno de denuncias y seguimiento del mismo afectará tanto al sector privado como público, previa consulta a los interlocutores sociales y de acuerdo con ellos cuando así lo establezca el Derecho nacional.

Esta necesidad se aplicará, como hemos adelantado:

  • A las entidades jurídicas del sector privado que tengan 50 o más trabajadores. Las entidades jurídicas del sector privado que tengan entre 50 y 249 trabajadores podrán compartir recursos para la recepción de denuncias y toda investigación que deba llevarse a cabo. Lo anterior se entenderá sin perjuicio de las obligaciones impuestas a dichas entidades por la presente Directiva de mantener la confidencialidad, de dar respuesta al denunciante, y de tratar la infracción denunciada.
  • A todas las entidades jurídicas del sector público, incluidas las entidades que sean propiedad o estén sujetas al control de dichas entidades. En este punto se fija que los Estados miembros podrán eximir de la obligación a los municipios de menos de 10 000 habitantes o con menos de 50 trabajadores, u otras entidades mencionadas en el párrafo primero del presente apartado con menos de 50 trabajadores, del mismo modo, los Estados miembros podrán prever que varios municipios puedan compartir los canales de denuncia interna o que estos sean gestionados por autoridades municipales conjuntas de conformidad con el Derecho nacional, siempre que los canales de denuncia interna compartidos estén diferenciados y sean autónomos respecto de los correspondientes canales de denuncia externa.
  • Tras una adecuada evaluación del riesgo y teniendo en cuenta la naturaleza de las actividades de las entidades y el correspondiente nivel de riesgo, en particular, para el medio ambiente y la salud pública, los Estados miembros podrán exigir que las entidades jurídicas del sector privado con menos de 50 trabajadores establezcan canales y procedimientos de denuncia interna de conformidad con lo dispuesto en el capítulo II de la directiva

¿A quién se pretende proteger?

Por denunciante ha de entenderse una persona física que comunica o revela públicamente información sobre infracciones obtenida en el contexto de sus actividades laborales.

La nueva Directiva se aplicará a los denunciantes que trabajen en el sector privado o público y que hayan obtenido información sobre infracciones en un contexto laboral, incluyendo, como mínimo, a:

  • las personas que tengan la condición de trabajadores en el sentido del artículo 45, apartado 1, del TFUE, incluidos los funcionarios;
  • las personas que tengan la condición de trabajadores no asalariados, en el sentido del artículo 49 del TFUE;
  • los accionistas y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa, incluidos los miembros no ejecutivos, así como los voluntarios y los trabajadores en prácticas que perciben o no una remuneración;
  • cualquier persona que trabaje bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores.

Las medidas de protección del denunciante también se aplicarán sobre otros colectivos que actualmente no cuentan con protección en los ordenamientos jurídicos nacionales:

  • cuando comuniquen o revelen públicamente información sobre infracciones obtenida en el marco de una relación laboral ya finalizada.
  • cuya relación laboral todavía no haya comenzado, en los casos en que la información sobre infracciones haya sido obtenida durante el proceso de selección o de negociación precontractual.
  • los facilitadores, entendidos como las personas físicas que asiste a un denunciante en el proceso de denuncia en un contexto laboral, y cuya asistencia debe ser confidencial
  • terceros que estén relacionados con el denunciante y que puedan sufrir represalias en un contexto laboral, como compañeros de trabajo o familiares del denunciante, y
  • las entidades jurídicas que sean propiedad del denunciante, para las que trabaje o con las que mantenga cualquier otro tipo de relación en un contexto laboral.

Según el considerando (32) y su el art. 5.1 de la Directiva, para gozar de protección al amparo de la misma, los denunciantes deben tener motivos razonables para creer, a la luz de las circunstancias y de la información de que dispongan en el momento de la denuncia, que los hechos que denuncian son ciertos. Ese requisito es una salvaguardia esencial frente a denuncias malintencionadas, frívolas o abusivas, para garantizar que quienes, en el momento de denunciar, comuniquen deliberada y conscientemente información incorrecta o engañosa no gocen de protección. Al mismo tiempo, el requisito garantiza que la protección no se pierda cuando el denunciante comunique información inexacta sobre infracciones por error cometido de buena fe. De manera similar, los denunciantes deben tener derecho a protección en virtud de la presente Directiva si tienen motivos razonables para creer que la información comunicada entra dentro de su ámbito de aplicación. Los motivos de los denunciantes al denunciar deben ser irrelevantes para determinar si esas personas deben recibir protección.

Procedimientos de denuncia: Canales de denuncias internos y externos y Revelación pública

a) Procedimientos de denuncia interna y seguimiento (Arts. 7-9 Directiva (UE) 2019/1937)

Los canales deberán permitir la denuncia por escrito o verbalmente, o de ambos modos. La denuncia verbal será posible por vía telefónica o a través de otros sistemas de mensajería de voz y, previa solicitud del denunciante, por medio de una reunión presencial dentro de un plazo razonable.

Los procedimientos de denuncia interna y seguimiento incluirán:

a) canales para recibir denuncias que estén diseñados, establecidos y gestionados de una forma segura que garantice que la confidencialidad de la identidad del denunciante y de cualquier tercero mencionado en la denuncia esté protegida, e impida el acceso a ella al personal no autorizado;

b) un acuse de recibo de la denuncia al denunciante en un plazo de siete días a partir de la recepción;

c) la designación de una persona o departamento imparcial que sea competente para seguir las denuncias, que podrá ser la misma persona o departamento que recibe las denuncias y que mantendrá la comunicación con el denunciante y, en caso necesario, solicitará a este información adicional y le dará respuesta;

d) el seguimiento diligente por la persona o el departamento designados a que se refiere la letra c);

e) el seguimiento diligente cuando así lo establezca el Derecho nacional en lo que respecta a las denuncias anónimas;

f) un plazo razonable para dar respuesta, que no será superior a tres meses a partir del acuse de recibo o, si no se remitió un acuse de recibo al denunciante, a tres meses a partir del vencimiento del plazo de siete días después de hacerse la denuncia;

g) información clara y fácilmente accesible sobre los procedimientos de denuncia externa ante las autoridades competentes de conformidad con el artículo 10 y, en su caso, ante las instituciones, órganos u organismos de la Unión.

b) Procedimientos de denuncia externa y seguimiento (Arts. 10-14 Directiva (UE) 2019/1937)

Los Estados miembros velarán por que las autoridades competentes cuenten con canales de denuncia externa independientes y autónomos para la recepción y el tratamiento de la información sobre infracciones, debiendo cumplir con una serie de obligaciones:

a) con prontitud, y en cualquier caso en un plazo de siete días a partir de la recepción de la denuncia, acusar recibo de ella a menos que el denunciante solicite expresamente otra cosa o que la autoridad competente considere razonablemente que el acuse de recibo de la denuncia comprometería la protección de la identidad del denunciante;

b) seguir las denuncias diligentemente;

c) dar respuesta al denunciante en un plazo razonable, no superior a tres meses, o a seis meses en casos debidamente justificados;

d) comunicar al denunciante el resultado final de toda investigación desencadenada por la denuncia, de conformidad con los procedimientos previstos en el Derecho nacional;

e) transmitir en tiempo oportuno la información contenida en la denuncia a las instituciones, órganos u organismos competentes de la Unión, según corresponda, para que se siga investigando, cuando así esté previsto por el Derecho de la Unión o nacional.

Para que un canal de denuncia externa se considere independiente y autónomo, ha de cumplir todos los siguientes criterios:

a) se diseñen, establezcan y gestionen de forma que se garantice la exhaustividad, integridad y confidencialidad de la información y se impida el acceso a ella al personal no autorizado de la autoridad competente;

b) permitan el almacenamiento duradero de información, de conformidad con el artículo 18, para que puedan realizarse nuevas investigaciones.

Los canales de denuncia externa permitirán denunciar por escrito y verbalmente. La denuncia verbal será posible por vía telefónica o a través de otros sistemas de mensajería de voz y, previa solicitud del denunciante, por medio de una reunión presencial dentro de un plazo razonable.

c) Revelación pública

La persona que haga una revelación pública podrá acogerse a protección en virtud de la Directiva (UE) 2019/1937 si se cumple alguna de las condiciones siguientes:

a) la persona había denunciado primero por canales internos y externos, o directamente por canales externos, sin que se hayan tomado medidas apropiadas al respecto en el plazo establecido legalmente (art. 9, apartado 1, letra f), o art. 11, apartado 2, letra d) Directiva (UE) 2019/1937).

b) la persona tiene motivos razonables para pensar que:

  • la infracción puede constituir un peligro inminente o manifiesto para el interés público, como, por ejemplo, cuando se da una situación de emergencia o existe un riesgo de daños irreversibles, o
  •  en caso de denuncia externa, existe un riesgo de represalias o hay pocas probabilidades de que se dé un tratamiento efectivo a la infracción debido a las circunstancias particulares del caso, como que puedan ocultarse o destruirse las pruebas o que una autoridad esté en connivencia con el autor de la infracción o implicada en la infracción.

Lo anterior no se aplicará en los casos en que una persona revele información directamente a la prensa con arreglo a disposiciones nacionales específicas por las que se establezca un sistema de protección relativo a la libertad de expresión y de información.

Entrada en vigor

Los Estados miembros pondrán en vigor las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la Directiva (UE) 2019/1937 antes del 17 de diciembre de 2021.

No obstante, para las entidades jurídicas del sector privado que tengan de 50 a 249 trabajadores, se establece un plazo especial (4 años), hasta el 17 de diciembre de 2023.

4. Whistleblowing y protección de datos

Tanto para los procedimientos de denuncia interna como externa, la Directiva 2019/1937 fija tres aspectos en común: Deber de confidencialidad (Art. 16 Directiva (UE) 2019/1937), tratamiento de datos  (Art. 17 Directiva (UE) 2019/1937) y Registro de las denuncias (Art. 18 Directiva (UE) 2019/1937)

El establecimiento de estos sistemas podría ser conforme a las normas de protección de datos, pero para ello es necesario que se adecúen a los principios establecidos en esta normativa. En concreto, como una de las novedades desarrollada normativamente por la LOPDGDD complementando el RGPD, el art. 24 de la norma específica:

“1. Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información.

2. El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. No obstante, será lícito su acceso por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan.

Sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos.

3. Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.

4. Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.

En todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de esta ley orgánica.

Transcurrido el plazo mencionado en el párrafo anterior, los datos podrán seguir siendo tratados, por el órgano al que corresponda, conforme al apartado 2 de este artículo, la investigación de los hechos denunciados, no conservándose en el propio sistema de información de denuncias internas.

5. Los principios de los apartados anteriores serán aplicables a los sistemas de denuncias internas que pudieran crearse en las Administraciones Públicas.”

A lo anterior hemos de adicionar el citado Dictamen 1/2006 del GT29 sobre la aplicación de las normas de la UE relativas a la protección de datos a programas internos de denuncia de irregularidades, donde esta posibilidad se extiende a los campos de la contabilidad, controles contables internos, asuntos de auditoría, lucha contra el soborno, delitos bancarios y financieros. [1]

Es decir, atendiendo a la normativa citada y AEPD, en relación a las denuncias presentadas a través de los sistemas de «whistleblowing»:

- Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información.

- El acceso a los datos contenidos en estos sistemas quedará limitado “exclusivamente” a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. No obstante, será lícito su acceso por otras personas en los siguientes casos: 

a) cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales.

b) cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos.

- Debería partirse del establecimiento de un procedimiento que garantice el tratamiento confidencial.

- Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.

-  Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados. Transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica.

- Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPDGDD.

- La LOPDGDD incluye también la posibilidad de presentar denuncias anónimas, dada la realidad en el día a día de las organizaciones. Pero ha de tenerse presente el criterio mantenido tanto por el GT29 como por la AEPD. [2]

Como nota de actualidad en este punto, merece la pena destacar la reciente STC Nº 146/2019, Sala Segunda, Rec de amparo 2436/2017, de 25 de noviembre de 2019,   ECLI:ES:TC:2019:146 , donde el Tribunal Constitucional ha declarado nulo el despido de un enfermero de un centro de día para personas dependientes que se quejó ante el Ayuntamiento de deficiencias en su empresa, adjudicataria de la gestión de la residencia, al estimar que hubo una "injustificada limitación" de su derecho a la libertad de expresión, en la medida en que condicionó su ejercicio a que las críticas del trabajador respecto a su empresa tuvieran como único y posible receptor la mercantil.

El TC entiende que la conducta del trabajador «se desarrolló en todo momento dentro de los márgenes que delimitan el legítimo ejercicio de su derecho fundamental a la libertad de expresión reconocido en el art. 20.1 a) CE, tanto en lo que se refiere a los límites genéricos, como a los específicos derivados del vínculo contractual», por lo que para el intérprete de la Constitución la interpretación del derecho fundamental realizada por la sentencia recurrida, al haber exigido que la crítica realizada no trascendiera más allá de la empresa, despojó al trabajador de la libertad de expresión que le reconoce el art. 20.1 a) CE, haciendo que tal derecho cediera ante un deber de lealtad entendido en términos absolutos de «sujeción indiferenciada del trabajador al interés empresarial» que no se ajusta al sistema constitucional de relaciones laborales.

La Sentencia analizada adquiere especial relevancia tras la publicación la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, toda vez que el texto, pendiente de transposición supondrá -como hemos visto- una protección para la persona trabajadora que realice denuncias como la relatada en el caso analizado, y que, por suponer un contrapunto a la STC Nº 126/2003, Sala Primera, Rec de amparo 5122/98, de 30 de junio de 2003, donde en un caso similar se deniega amparo al haber acudido a la prensa con sus quejas sin esperar el feedback de su empresa, evidencia que en la aplicación de los nuevos derechos, las formas, y en concreto la utilización de los canales estandarizados en cada caso, van a importar.

 

 

 

[1] El GT29 es consciente de que “los programas de denuncias de irregularidades plantean dificultades específicas en algunos países de la Unión Europea en relación con aspectos del derecho laboral, y de que el trabajo continúa en estas cuestiones y requerirá mayor atención”.

[2] Guía AEPD “La protección de datos en las relaciones laborales”: “Para garantizar la exactitud de la información deberían establecerse mecanismos que garanticen únicamente la aceptación de las denuncias en que el denunciante aparezca claramente identificado, no siendo adecuado establecer sistemas de denuncias anónimas. En todo caso, la confidencialidad de la información del denunciante debería quedar a salvo, no facilitándose, como regla general, su identificación al denunciado. Precisamente como consecuencia de lo anterior, será necesario que se extremen en relación con estos tratamientos las medidas que garanticen la adecuada seguridad y confidencialidad de la información, pudiendo establecerse medidas reforzadas de seguridad y extremando las cautelas que garanticen el cumplimiento del deber de secreto.”

Ej.: Pueden adoptarse medidas como: 1) limitar el acceso al contenido de las denuncias a los usuarios que lleven a cabo la investigación y relacionarlos en el documento de seguridad; 2) establecer un sistema de registro de accesos, aún cuando no corresponda aplicar las medidas de nivel alto del RLOPD; 3) firma de compromisos reforzados de confidencialidad con los usuarios autorizados, con especiales medidas disuasorias para el caso de vulnerarse el deber de secreto”.

No hay versiones para este comentario

Protección de datos
Interés publico
Datos personales
Amenazas
Actividad laboral
Persona física
Instrumentos financieros
Compliance officer
Denuncia anónima
Tratamiento de datos personales
Persona jurídica
Blanqueo de capitales
Obligación de información
Fraude
Terrorismo
Normativa M.I.F.I.D.
Daños y perjuicios
Compliance
Vejaciones
Responsabilidad penal
Mercado financiero
Órganos de administración
Evaluación de riesgos
Accionista
Libertad de expresión
Subcontratista
Buena fe
Informaciones incorrectas
Encargado del tratamiento
Vencimiento del plazo
Acceso a datos personales
Derechos fundamentales
Soborno
Controles contables
Adjudicataria
Personas dependientes
Residencia
Derecho de libertad de expresión
Relación contractual

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Ley Orgánica 3/2007 de 22 de Mar (Igualdad efectiva de mujeres y hombres) VIGENTE

Boletín: Boletín Oficial del Estado Número: 71 Fecha de Publicación: 23/03/2007 Fecha de entrada en vigor: 24/03/2007 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Ley 10/2010 de 28 de Abr (Prevención del blanqueo de capitales y de la financiación del terrorismo) VIGENTE

Boletín: Boletín Oficial del Estado Número: 103 Fecha de Publicación: 29/04/2010 Fecha de entrada en vigor: 30/04/2010 Órgano Emisor: Jefatura Del Estado

Real Decreto 1720/2007 de 21 de Dic (Reglamento de desarrollo de la LO 15/1999, de proteccion de datos de caracter personal) VIGENTE

Boletín: Boletín Oficial del Estado Número: 17 Fecha de Publicación: 19/01/2008 Fecha de entrada en vigor: 19/04/2008 Órgano Emisor: Ministerio De Justicia

Documentos relacionados
Ver más documentos relacionados
  • Objeto y ámbito de aplicación del RGPD y de la LOPDGDD

    Orden: Administrativo Fecha última revisión: 07/02/2019

    A partir del 25 de mayo de 2018, con el comienzo con la aplicación del Reglamento General de Protección de Datos (en adelante RGPD),  se instaura un conjunto único de normas directamente aplicables en todos los Estados miembros, que actualmente s...

  • Sistemas de información de denuncias internas en la LOPDGDD

    Fecha última revisión: 12/02/2019

    En el Título IV de la LOPDGDD se recogen «Disposiciones aplicables a tratamientos concretos» que se consideran lícitos, incluyendo como tal, los sistemas de denuncias internas, en que la licitud del tratamiento proviene de la existencia de un int...

  • Obligaciones en materia de protección de datos en las relaciones laborales

    Orden: Laboral Fecha última revisión: 03/02/2020

    Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).1. Registro de acti...

  • Protección de datos en las relaciones laborales

    Orden: Laboral Fecha última revisión: 03/02/2020

    La empresa, o sus asesores, deben conocer y cumplir las exigencias sobre protección de datos recogidas en la normativa actual. Exigencias, que como veremos no solo abarcan en el ámbito laboral formalidades asociadas a la LOPDGDD o RGPD, sino que ha...

  • Responsabilidad del Responsable del tratamiento de datos en el RGPD y en la LOPDGDD.

    Orden: Administrativo Fecha última revisión: 30/01/2019

    La regulación de la responsabilidad del Responsable del Tratamiento se contempla en el artículo 24 del RGPD, así como en el artículo 28 de la LOPDGDD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se pone...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados