Sistemas de Denuncias Internas - Whistleblowing

Valoración del Usuario:  / 6
MaloBueno 

Los sistemas de denuncias internas o Whistleblowing son mecanismos que desarrollan las compañías y ponen a disposición de sus empleados para denunciar incumplimientos o ilegalidades que se produzcan en el seno de las mismas. Estos sistemas de denuncias tienen su origen en la Ley Sarbanes-Oxley (SOX) que aprobó en 2002 el Congreso Norteamericano, tras los numerosos escándalos financieros que se habían producido en los últimos tiempos. Esta Ley obliga a las compañías que cotizan en la bolsa estadounidense o en alguno de sus mercados, a instaurar en sus procedimientos internos una serie de acciones y controles con la finalidad de evitar fraudes financieros.

Haciéndose eco de la problemática que suponía la implantación de estos sistemas de denuncia en las compañías europeas, el Grupo de Trabajo creado por el artículo 29 de la Directiva 95/46/CE emitió el dictamen 1/2006 sobre la aplicación de las normas de la UE relativas a la protección de datos a programas internos de denuncia de irregularidades en los campos de la contabilidad, controles contables internos, asuntos de auditoría, lucha contra el soborno, delitos bancarios y financieros. Este dictamen analiza la problemática que estos sistemas en connivencia con la legislación europea en Protección de Datos y establece las pautas necesarias para legalizar la implantación de estos sistemas en los Estados Miembros de la Unión Europea.

Basándose en el citado dictamen, la Agencia Española de Protección de Datos (AEPD) estableció, mediante Informe Jurídico 0128/2007, las características que todo sistema de denuncias internas-whistleblowing debe cumplir para hallarse al amparo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo.

Los requisitos que deben de cumplir  los sistemas de denuncias internas implantados en España son los siguientes:

1. Los sistemas de denuncias internas únicamente aceptará denuncias en que aparezca identificado el denunciante, evitando así la existencia de denuncias anónimas.

Con este criterio, la AEPD endurece los requerimientos del citado dictamen del Grupo de Trabajo del artículo 29 que considera que las denuncias podrían tramitarse de forma anónima siempre que, con anterioridad, se hubiera informado al denunciante de que su identidad se mantendrá de forma confidencial en todas las fases del proceso. Este hecho crea numerosos problemas a las compañías españolas filiales de empresas europeas, cuyas matrices han diseñado sistemas de denuncias internas que permiten que las mismas se realicen de forma anónima. De esta forma, las compañías españolas se ven obligadas a exigir a sus matrices que los sistemas de denuncias tengas unas características especificas cuando se implanten en España para poder cumplir, así, las exigencias de la AEPD.

2. Los denunciantes y denunciados que utilicen el sistema de denuncias internas deberán ser personas que mantengan con la compañía un vínculo contractual de derecho laboral, civil o mercantil, por lo que no podrá estar a disposición de cualquier tercero con interés legitimo.

3. Deberá informarse expresamente a los usuarios, potenciales denunciantes y denunciados, de la existencia y funcionamiento del sistema de denuncias internas, quedando la existencia del mismo incorporada a la relación contractual.

4. Las denuncias sólo podrán referirse a materias o normas internas o externas que impliquen incumplimiento de los deberes laborales o contractuales del denunciado.

Si bien sería preciso ampliar las materias objeto de denuncia a hechos que pudieran derivar responsabilidades penales para el denunciado o para la compañía, en base a la nueva normativa de prevención de blanqueo de capitales y a la reforma del código penal que establece la responsabilidad penal de las personas jurídicas.

5. El sistema de denuncias internas deberá concretar las acciones que serán objeto de denuncia y especificar las normas a las que las mismas se refieren, teniendo en cuenta los requisitos del punto anterior.

6. El sistema de denuncias garantizará que la identidad del denunciante se mantenga confidencial en todas las etapas del tratamiento, de modo que nunca podrá ser revelada al denunciado, debiendo informar al denunciante de los siguientes extremos:

  • Su identidad se mantendrá confidencial en todas las etapas del proceso.
  • No se divulgará dicha identidad a terceros, ni a la persona denunciada ni a los mandos directivos del empleado, a excepción de que sea necesaria su divulgación a las personas pertinentes implicadas en cualquier investigación posterior o procedimiento judicial incoado como consecuencia de la investigación llevada a cabo por sistema de denuncias internas.

7. El sistema de denuncias internas debe establecer un plazo máximo para la conservación de los datos relacionados con las denuncias, limitándose al necesario para la tramitación de las medidas de auditoría interna que resultasen necesarias y, como máximo, a la tramitación de los procedimientos judiciales que se derivasen de la investigación realizada.

8. Se deberá informar al denunciado, a la mayor brevedad posible, de los siguientes extremos:

  • La entidad responsable del sistema de denuncias.
  • Los hechos de los que se le acusa.
  • Los departamentos y servicios que podrían recibir el informe dentro de la compañía.
  • Cómo puede el denunciado ejercer sus derechos de acceso y rectificación.

Sólo en los casos en los que se ponga en peligro la capacidad de la compañía para investigar, podrá retrasarse el deber de información al denunciado. Dicho retraso no podrá, en ningún caso, superar los tres (3) meses a contar desde el momento en el que se practicó la denuncia.

9. Se deberá inscribir el fichero de nivel alto en el Registro General de Protección de Datos.

10. Se deben Implantar las medidas de seguridad de nivel alto previstas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.

Como conclusión y en base a lo comentado a lo largo del presente artículo, sería conveniente que el Legislador estableciese una norma común para los Estados Miembros de la Unión Europea que regulase los sistemas de denuncias internas. Si bien es cierto que en España no se trata de un procedimiento común en las compañías, cada vez proliferan más estos sistemas especialmente en las compañías españolas que son filiales de empresas europeas.

Hasta que esa regulación europea no se promulgue, los sistemas de denuncias internas implantados en España deberán reunir los requisitos establecido por la AEPD.

Isabel García Martín

Abogada experta en Nuevas Tecnologías y Auditora de sistemas de información (CISA)

Share