Legitimación del Canal de Denuncia en cumplimiento de la LOPD. Línea Whistleblowing

Transcripción

1 Legitimación del Canal de Denuncia en cumplimiento de la LOPD. Línea Whistleblowing Lluch Consulting & Training, S.L. Canal de Denuncia o Línea Whistleblowing, sistema de denuncia interna o canal de comunicación directo para que los empleados, clientes, proveedores, socios comerciales y otras partes interesadas (stakeholders), puedan denunciar el incumplimiento tanto de normas internas de una entidad como de otras regulaciones que rigen su actividad.

2 Legitimación del Canal de Denuncia - Línea Whistleblowing, en cumplimiento de la LOPD El pasado 31 de Marzo de 2015 se ha publicado en el Boletín Oficial del Estado la Ley Orgánica 1/2015 de 30 de marzo por la que se modifica el Código Penal, que entró en vigor el 1 de Julio de 2015, la cual introduce claridad y detalle en el régimen de la responsabilidad penal de las personas jurídicas en España, esta figura ya entró en vigor, en nuestro ordenamiento jurídico, en diciembre de La Fiscalía General del Estado publicó una circular que intentaba aportar algo de luz a este asunto, creando más debate sobre la implantación de un Compliance Program. Entre todas las medidas de carácter legal, técnico y organizativo que deben adoptar las empresas en la elaboración de un programa de Compliance se encuentra la creación de un canal de denuncia o Whistleblowing, que permite la comunicación de posibles incumplimientos de las normas internas de la empresa y/o de las normas legales que se deben obedecer. Estos sistemas permiten a las empresas implantar las pertinentes medidas de investigación y sancionar todos aquellos hechos punibles que se detecten. La complejidad de la gestión de estos canales y el tratamiento de información sensible que se llevaba a cabo en los mismos, implicó la elaboración de un estudio jurídico por parte de la Agencia Española de Protección de Datos (AEPD), Informe Jurídico 128/2007. Entre las principales conclusiones que se alcanzaban en el mismo pueden destacarse, que los canales de denuncia deben disponer de legitimación jurídica para el tratamiento de los datos, de esta forma el informe indica que: debe señalarse que no existe en el ordenamiento jurídico español una previsión general similar a la impuesta a las empresas de servicios de inversión, las entidades de crédito y las personas o entidades que actúen en el Mercado de Valores, tanto recibiendo o ejecutando órdenes como asesorando sobre inversiones en valores por el artículo 79.1 d) de la Ley del Mercado de Valores, consistente en Disponer de los medios adecuados para realizar su actividad y tener establecidos los controles internos oportunos para garantizar una gestión prudente y prevenir los incumplimientos de los deberes y obligaciones que la normativa del Mercado de Valores les impone, lo que hubiera permitido fundar el tratamiento en los artículos 6.1 y 11.2 a) de la Ley Orgánica 15/1999. la Agencia consideró la posible aplicación en estos procedimientos de la legitimación conferida por el artículo 7 b) de la Directiva, que permite el tratamiento de los datos necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado dado que la Ley española no impone el deber jurídico de implantar estos procedimientos y que la regla del interés legítimo ha de venir referenciada al reconocimiento del mismo por una norma legal aplicable al caso 1

3 existiese pleno conocimiento de la existencia de los mecanismos descritos por parte de las personas cuyos datos pudieran ser tratados por los mismos, quedando la existencia de dichos procedimientos incorporada a la relación contractual como parte integrante de la misma, el tratamiento de los datos pudiese considerarse necesario para el desarrollo y control adecuado de la relación contractual, lo que permitiría considerar el mismo amparado en la Ley Orgánica 15/1999 El Grupo de Trabajo considera que los programas de denuncia de irregularidades deberían estar creados de tal manera que no fomenten los informes anónimos como la manera habitual de presentar una queja. En concreto, las sociedades no deberían anunciar el hecho de que se permiten los informes anónimos a través del programa. el programa debería informar al denunciante, en el momento de establecer el primer contacto con el programa, de que su identidad se mantendrá confidencial en todas las etapas del proceso y, en concreto, que no se divulgará a terceros, ni a la persona incriminada y a los mandos directivos del empleado. Si, a pesar de esa información, la persona que informa al programa sigue queriendo permanecer en el anonimato, el informe se aceptará en el programa. También es necesario informar a los denunciantes de que podría ser necesario divulgar su identidad a las personas pertinentes implicadas en cualquier investigación posterior o procedimiento judicial incoado como consecuencia de la investigación llevada a cabo por el programa de denuncia de irregularidades. A juicio de la AEPD, debería partirse del establecimiento de procedimientos que garanticen el tratamiento confidencial de las denuncias presentadas a través de los sistemas de whistleblowing, de forma que se evite la existencia de denuncias anónimas, garantizándose así la exactitud e integridad de la información contenida en dichos sistemas. En consecuencia, el establecimiento de mecanismos que garanticen la presentación de denuncias confidenciales, y no anónimas, no perjudicaría la operatividad del sistema, al deber quedar claramente planteada la conclusión de que los datos del denunciante en modo alguno podrían ser transmitidos al denunciado con ocasión del ejercicio del derecho de acceso. Por otra parte, el artículo 4.5 de la Ley Orgánica 15/1999 dispone en sus dos primero párrafos que Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados y No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. En relación con este punto, el documento del Grupo de Trabajo señala que Los datos personales tratados por un programa de 2

4 denuncia de irregularidades deberían eliminarse, inmediatamente, y normalmente en un plazo de dos meses desde la finalización de la investigación de los hechos alegados en el informe. En este sentido, sería imprescindible que se establezca un plazo máximo para la conservación de los datos relacionados con las denuncias, a fin de evitar el mantenimiento de los mismos por un período superior que perjudique los derechos del denunciado y del propio denunciante, cuya confidencialidad debe quedar garantizada. El pasado 21 de Abril de 2015 tuvo lugar la 7ª Sesión Anual Abierta de la AEPD, planteándose la consulta de si la Agencia había cambiado las conclusiones en relación con el tratamiento de los datos en el marco de un canal de denuncias (informe 128/2007), tras la publicación de Ley Orgánica 1/2015 de 30 de marzo por la que se modifica el Código Penal. En particular, la consulta planteaba si estaría legitimado el tratamiento de los datos de clientes y proveedores en el marco de la prevención de delitos. A lo que respondió: ha venido considerando posible el establecimiento de los canales de denuncia siempre que se cumplan los requisitos establecidos en la Ley Orgánica de Protección de Datos de Carácter personal. La legitimación para el establecimiento de estos canales podría fundarse en el Art 7 f) de la Directiva 95/46/CE. Por ello, la mera referencia al colectivo afectado no sería suficiente para dar una respuesta definitiva a la cuestión, siendo necesario conocer qué tipo de actuaciones serían susceptibles de denunciarse en estos medios. La reforma de la legislación penal podría ayudar a justiciar el interés legítimo prevalente, pero no bastaría por si sola para fundar el tratamiento. En particular la Agencia ha considerado necesario que las denuncias tengan carácter confidencial y no anónimo, si bien cabría la contratación de un encargado del tratamiento que conservase los datos identificativos de los denunciantes sin comunicarlos en ningún caso a la empresa. Información y funcionalidad del Canal de Denuncias - Línea Whistleblowing Una Línea de Denuncias Línea Whistleblowing, es el medio por el cual todos los ejecutivos y empleados de la Entidad incluyendo, empleados temporales, indefinidos y por contrato, clientes, proveedores, socios comerciales y otras partes interesadas (stakeholders), puedan informar de comportamientos, acciones o hechos que puedan constituir violaciones tanto de las normas internas de una compañía como de las leyes, normativas o códigos éticos que rigen la actividad de dicha entidad. Un Canal de Denuncias Línea Whistleblowing, debe utilizarse solamente para comunicar preocupaciones que guarden relación con las siguientes áreas: Contabilidad. Controles internos. 3

5 Auditoría. Irregularidades financieras, incluidas las relacionadas con transacciones bancarias. Sobornos. Medioambiente. Acoso sexual. Incumplimiento de los estándares profesionales por parte de las organizaciones, o de cualquier miembro interno o externo de la Entidad. Etc. Compatibilidad con las normas sobre protección de datos. a) Tanto dicha entidad en donde se han producidos los hechos denunciados, como Lluch Consulting & Training, S.l., como entidad gestora Canal de Denuncias - Línea Whistleblowing, se comprometen al cumplimiento del secreto y confidencialidad de la información efectuada en dicho canal de denuncias. Según estipula la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal y su RD 1720/2007 de Desarrollo de la Ley. b) En el momento de efectuar la denuncia y establecer un primer contacto con el programa, su identidad se mantendrá confidencial en todas las etapas del proceso y, en concreto, no siendo divulgada a terceros, ni a la persona incriminada y a los mandos directivos. Sin perjuicio de que a modo de excepción se puedan aceptar denuncias anónimas y exclusivamente en casos determinados. c) Así mismo le informamos de que podría ser necesario divulgar su identidad a las personas pertinentes implicadas en cualquier investigación posterior o procedimiento judicial incoado como consecuencia de la investigación llevada a cabo por el Canal de Denuncias Línea Whistleblowing. d) El tiempo de conservación de los datos en el Canal de Denuncias - Línea Whistleblowing, no excederá de dos meses a excepción que se emprendan acciones legales contra el denunciado, en cuyo caso dependerá el plazo y conservación, de la finalización de las diligencias correspondientes. Una vez transcurridos dichos plazos, la información recabada procederá a cancelarse. e) Cuando los datos hayan sido recabados de un tercero y no del propio interesado. La persona denunciada deberá ser informada por el responsable Línea de Denuncias - Línea Whistleblowing, lo antes posible en cuanto se hayan registrado los datos referentes a ella. Siendo informado de: a) La entidad responsable del programa de denuncia de irregularidades. b) Los hechos de los que se le acusa. c) Los departamentos y servicios que podrían recibir el informe dentro de su propia sociedad o en otras entidades o sociedades del grupo del que forma parte su sociedad. 4

6 No obstante, cuando exista un riesgo importante de que dicha notificación pondría en peligro la capacidad de la sociedad para investigar de manera eficaz la alegación o recopilar las pruebas necesarias, la notificación a la persona incriminada podría retrasarse mientras exista dicho riesgo. Exenciones o atenuantes de responsabilidades por parte del denunciante. a) La persona denunciante, no sufrirá ningún tipo de represalia laboral por el hecho de haber informado de buena fe acerca de conductas irregulares. b) En el caso de una falsa denuncia, el denunciante puede sufrir posibles consecuencias laborales o incluso penales. c) La denuncia no le eximirá de su responsabilidad en el caso de que haya intervenido en el delito denunciado, pero si se beneficiará de importante atenuantes si contribuye al descubrimiento de actos ilícitos. Todos los empleados de la compañía podrán ser denunciantes o denunciados en el sistema. Obligaciones y derechos del denunciante y del denunciado. a) Obligación de guardar secreto y confidencialidad respecto aquellos datos personales a los que pueda tener acceso o notificación con motivo de la información realizada a través de Línea de Denuncias - Línea directa Whistleblowing, obligaciones que subsistirán aun después de finalizar sus relaciones con dicha entidad. b) Podrá ejercitar los derechos de acceso, rectificación, cancelación y oposición, a su información recabada durante el tratamiento, dirigiéndose por escrito a: Lluch Consulting & Training, S.L., a través del correo electrónico: lopd@lluchconsulting.es. Dicho derecho queda limitado a sus propios datos de carácter personal objeto del tratamiento. En el caso que el denunciado solicite datos de terceras personas (datos del denunciante), no podrá ejercer dicho derecho sobre dicho dato. No puede considerarse que la información que contenga datos de carácter personal del denunciante quede incluida en dicho derecho, no encontrando amparo en los supuestos regulados por el artículo 11 de la Ley Orgánica 15/