Antecedentes
Esta figura tiene su precedente en EEUU, en la Lloyd–La Follete Act de 1912 y, posteriormente, en la Whistleblower Protection Act de 1989. En Estados Unidos la figura de los alertadores de ilegalidades dentro de la actividad empresarial ha sido siempre respetada y ha dado lugar a no pocas revelaciones sobre delitos no detectables de otro modo dentro de las prácticas empresariales, promoviendo cambios en la legislación y mejorando el control y la transparencia.
En Europa hemos tenido que esperar a la Directiva 2019/1937 de 23 de octubre, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Esta norma obliga a los gobiernos de toda Europa a su transposición a la legislación nacional antes del 17 de diciembre de 2021 e impone la obligación de establecer esquemas de denuncia de irregularidades a empresas con más de 50 empleados.
Desde 2015, nuestro Código Penal ya establece en su artículo 31 bis.5, que para que las empresas puedan quedar exentas de responsabilidad penal “impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención”. Es decir, la empresa tiene que demostrar estar en posesión de un esquema de prevención, control y mitigación de los riesgos que puedan derivar en la comisión de delitos corporativos, por cualquiera de sus empleados, socios o partes interesadas.
¿Pero esto como afecta a la pequeña y mediana empresa? Tendemos a pensar que es difícil que se cometan corrupciones millonarias o delitos de gran calado en una pequeña empresa. Pero no es infrecuente ver a un comercial un poco agresivo que decide cumplir objetivos a costa de cualquier norma ética. En otro frente y sólo como ejemplo, el departamento de recursos humanos no puede siempre detectar situaciones de acoso o mobbing que van a hacer vulnerable a la empresa ante los tribunales. Por otro lado, ni el departamento legal, ni otros departamentos de control interno, son omnipresentes en toda la actividad de la empresa, por ello, los controles e indicadores de seguimiento fallan y se impone una revisión constante de estos.
Las buenas prácticas del cumplimiento normativo (UNE 19601 Gestión de Cumplimiento Penal), nos instruyen en el buen funcionamiento de la empresa. Para ello, la empresa debe tener tres niveles de seguridad: 1) las áreas de negocio tienen que estar bien informadas de sus deberes de cumplimiento, 2) el departamento legal y cumplimiento normativo serían el segundo nivel al que acudimos cuando no estamos seguros de que norma aplica y 3) el departamento de control interno y auditoría que verifica que la normativa y códigos internos son aplicados en todo momento.
El canal de denuncias es un nivel extra, una especie de colchón de seguridad, que nos permite estar informados de posibles irregularidades antes de que se hagan públicas o sean conocidas por nuestros clientes, nuestros socios o las autoridades si es constitutivo de delito, antes de que el daño en la reputación corporativa esté hecho o la denuncia esté ya interpuesta en los tribunales. Pero, sobre todo, es un gran instrumento de información y control para la alta dirección, nos permite conocer lo que está oculto, lo que no funciona. Contribuye a la mejora continua de los procesos internos y a la gestión y control de conductas ilegales o contrarias a la cultura ética de la empresa.
Privacidad
Sin embargo, hay que tener en cuenta que el canal de denuncias internas requiere un tratamiento de datos personales, tanto del denunciante (salvo que la denuncia sea anónima) como del denunciado y otros posibles afectados (víctimas, testigos, etc.).
La base legal para el establecimiento del canal de denuncias es el interés público. Así lo expone la Agencia Española de Protección de Datos AEPD, en su guía para las Relaciones Laborales que además nos aconseja que se haga con unas garantías mínimas. Veamos cuáles son:
- Difusión del canal, tanto los denunciantes como los potenciales denunciados y otros interesados deberán haber sido informados previamente de la existencia de estos sistemas y del tratamiento de los datos que conlleva la formulación de una denuncia.
- Proporcionalidad, las denuncias han de referirse únicamente a supuestos en que los hechos o actuaciones tengan una efectiva implicación en la relación entre la empresa y el denunciado (empleados, socios y partes interesadas).
- Limitación de la finalidad, no cabe utilizar la información obtenida por esta vía con fines distintos a los que motivaron la implementación del sistema.
- Acceso restringido, el acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento normativo.
- Medidas reforzadas de seguridad, extremando las cautelas que garanticen el cumplimiento del deber de secreto. Únicamente será lícito el acceso de otras personas, o incluso su comunicación a terceros, para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso procedan. Para lograr este objetivo pueden adoptarse medidas como:
-
- Limitar el acceso al contenido de las denuncias a los usuarios que lleven a cabo la investigación y relacionarlos en el documento de seguridad.
- Establecer un sistema de registro de accesos.
- Firma de compromisos reforzados de confidencialidad con los usuarios autorizados, con especiales medidas disuasorias para el caso de vulnerarse el deber de secreto.
Otro tema importante es la conservación de los datos derivados de la información obtenida en el canal de denuncias. Esta conservación debe limitarse al tiempo necesario para la investigación de los hechos. En todo caso, los datos deben suprimirse transcurridos tres meses.
- Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada. Esta información anonimizada puede proporcionar una información valiosa para la empresa.
- Los datos de los casos que estén bajo investigación no pueden conservarse en el propio sistema de información de denuncias internas.
Por supuesto, y siempre tras un tiempo prudencial en que se lleve a cabo la investigación preliminar de los hechos, deberán garantizarse los derechos de acceso, rectificación, supresión, limitación y oposición del denunciado, sin que ello implique revelar la identidad del denunciante.
Garantías
Un canal efectivo debe articularse bajo principios irrenunciables. La Directiva Europea lo asienta sobre dos pilares fundamentales, uno es la indemnidad, es decir la garantía de no represalias ni consecuencias negativas para el alertador de la irregularidad. Tal y como la AEPD ha señalado, para garantizar la indemnidad es imprescindible apoyarse en el segundo pilar, la confidencialidad del canal durante todo el proceso que dure la investigación.
La LOPDyGDD permite además las denuncias anónimas (como ya lo hacía la UNE 19601). Se tiende a temer las denuncias con mala fe si se permite anonimidad, sin embargo, la práctica de aquellos que hace años que gestionan un canal, nos dice que las denuncias de mala fe son escasas. Parece olvidarse que alertar sobre procedimientos o hechos ilícitos o poco éticos, incluso cuanto puedan afectar al individuo mismo, es una decisión difícil de tomar, que pocos se sienten con la confianza suficiente de asumir, es más fácil no informar. Por eso tanto la Directiva 2019/1937, como la LOPDyGDD y antes la UNE 19601, permiten la anonimidad del alertador.
Por todo ello, merece la pena elaborar un canal de denuncias efectivo, ya que en el medio plazo la seguridad jurídica siempre ha sido un activo rentable.
Marian Sardón
Departamento Privacidad