Sistemas de información de denuncias internas en materia de protección de datos (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Fecha última revisión: 12/02/2019

En el Título IV de la LOPDGDD se recogen «Disposiciones aplicables a tratamientos concretos» que se consideran lícitos, incluyendo como tal, los sistemas de denuncias internas, en que la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del RGPD.

La regulación de estos sistemas de información de denuncias internas, se recoge en el artículo 24 de la norma, que dispone lo siguiente:

"1. Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información.

2. El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. No obstante, será lícito su acceso por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan.

Sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos.

3. Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.

4. Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.

En todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de esta ley orgánica.

Transcurrido el plazo mencionado en el párrafo anterior, los datos podrán seguir siendo tratados, por el órgano al que corresponda, conforme al apartado 2 de este artículo, la investigación de los hechos denunciados, no conservándose en el propio sistema de información de denuncias internas.

5. Los principios de los apartados anteriores serán aplicables a los sistemas de denuncias internas que pudieran crearse en las Administraciones Públicas."

Estos sistemas tienen por objeto poner en conocimiento de una entidad privada la comision de actos o conductas que puedan ser contrarios a la normativa, general o sectorial, dentro de la misma o bien por parte terceros que contraten con esta, incluso de modo anónimo. Deberá informarse acerca de la existencia de estos sistemas tanto los empleados como los terceros.   Ya en el año 2006, el Grupo de Trabajo del Artículo 29 (GT29) publicó el Dictamen 1/2006 relativo a la aplicación de las normas sobre protección de datos de la UE a los sistemas internos de denuncia de irregularidades en los ámbitos de la contabilidad, controles de auditoría internos, cuestiones de auditoría, lucha contra la corrupción y delitos financieros y bancarios, que analizaba la aplicación de las normas en estos sistemas internos. Posteriormente en el año 2007, el Gabinete Jurídico de la Agencia Española de Protección de Datos publicó el informe Creación de sistemas de denuncias internas en las empresas (mecanismos de “whistleblowing”) si bien en el mismo se excluía la posibilidad de que fuesen anónimas, con base en el Dictamente del GT29 indicado. Esta postura se ha superado con la redacción del apartado 1 del artículo 24 de la LOPDGDD como vemos, pues se permite de manera expresa que sean anónimas.

Por su parte la Fiscalía General del Estado publicó en 2016 la Circular 1/2016, sobre la responsabilidad penal de las personas jurídicas conforme a la Reforma del Código Penal efectuada por la LO 1/2015, en donde se destaba sobre los sistemas de información de denuncias internas que constituía un elemento clave de los modelos de prevención (compliance penal), en el que había que garantizar la confidencialidad y proteger específicamente al denunciante.

Con respecto al acceso a los datos, para garantizar la confidencialidad de los mismos, podrán acceder únicamente las personas autorizadas a ello, incardinados o no en el seno de la entidad, siempre que sus funciones sean las de control interno y de cumplimiento, así como los encargados de tratamiento eventualmente designados al efecto. Se permite tambien el acceso por parte de otras personas o incluso la comunicación a terceros, si es necesario para la adopción de medidas disciplinarios o la tramitación de procedimientos judiciales. Además sólo cuando pudiera proceder la adopción de medidas disciplinarias en el ámbito laboral, se permitirá el acceso a quienes desempeñan funciones de gestión y control de recursos humanos.

Es decir, de lo que se trata es de limitar el acceso a quienes estén autorizados para ello o sea necesario en virtud de sus funciones, evidentemente, "sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo".

En cuanto al plazo de conservación en el sistema de denuncias interno, como norma general, conforme al apartado 4º del artículo, deberán suprimirse en un plazo máximo de tres meses, salvo que la finalidad sea dejar evidencias del funcionamiento del modelo. Transcurrido el plazo, sólo podran seguir tratándolos los órganos de investigación en un entorno distinto a dichos sistemas. En cuanto a las denuncias a las que no se haya dado curso, sólo podrán constar de forma anonimizada.

Es muy importante tener en cuenta que se deberán adoptar las medidas necesarias para garantizar la confidencialidad de las denuncias, especialmente los datos de la persona denunciante si no fuese una denuncia anónima, tanto en los sistemas de tratamiento como en cuanto a los medios y activos usados para el tratamiento.

Finalmente, se expecifica que serán aplicables los principios recogidos en el artículo para los sistemas de denuncias internas creados por las Administraciones Públicas.

No hay versiones para este comentario

Acceso a datos personales
Interés publico
Persona jurídica
Encargado del tratamiento
Protección de datos
Corrupción
Responsabilidad penal
Compliance
Denuncia anónima

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados