Actualmente, el Informe 128/2007 del Gabinete Jurídico de la Agencia Española de Protección de Datos, (AEPD), junto con el Dictamen 1/2006 del Grupo de Trabajo del Artículo 29 (GT29) , nos sirven como punto de referencia a la hora de analizar la legalidad del tratamiento de datos personales del denunciante y denunciado en el marco de los sistemas de “whistleblowing” o de denuncia interna en una empresa.
En el citado informe, como ya os comentamos en su momento, la AEPD concluyó, entre otras cuestiones, que cuando los datos no sean recabados del propio interesado, sino por un tercero (denunciante):
a. Por un lado, se debe informar al afectado (denunciado) de que sus datos han sido recabados en el plazo máximo de 3 meses (conforme el artículo 5.4 LOPD) y por otro lado, las denuncias deberán limitarse a los casos relacionados en el seno de la relación laboral.
b. La invalidez de la denuncia anónima, siempre y cuando se garantice la confidencialidad del denunciante.
Con el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), y la introducción de la responsabilidad penal de las personas jurídicas en el 2010 hay cuestiones que han cambiado y que resulta recomendable plantearnos en la práctica. A continuación os mencionamos algunas.
Plazo máximo para informar al afectado del tratamiento de sus datos tras el GDPR
Entre las obligaciones que la LOPD impone, se encuentra la obligación de informar al afectado sobre el tratamiento de sus datos en el plazo máximo de 3 meses desde que se interpone la denuncia, de conformidad con el artículo 5.4 de la LOPD.
Sin embargo, el GDPR, en su artículo 14.3 impone al responsable un plazo máximo de un mes para informar al afectado sobre los puntos que citan los apartados primero y segundo de dicho artículo 14.
Tanto en el informe de la AEPD como en el Dictamen 1/2006 del GT29, están de acuerdo en que se informará al denunciado en el plazo más breve posible, partiendo de la base del plazo máximo de 3 meses. Pero, ¿Cómo debemos interpretar ahora este plazo si el nuevo GDPR establece un plazo inferior? ¿Debemos ceñirnos al nuevo plazo máximo de 1 mes? Todo parece indicar que sí.
Canal de denuncias tras la reforma del Código Penal
Como sabemos, la reforma del Código Penal del año 2010 introdujo la responsabilidad penal de las personas jurídicas, y posteriormente, la reforma de 2015 incluyó la conveniencia de adoptar un Modelo de Prevención de Riesgos Penales, previamente a la comisión del hecho, como medida para atenuar o eximir de la citada responsabilidad (artículo 31 bis del Código Penal).
Entre las medidas de vigilancia y control que propone la norma se encuentran los canales de denuncia.
Por su parte, la Circular 1/2016 de la Fiscalía General del Estado (FGE) se refiere a los canales del modo siguiente: “La existencia de unos canales de denuncia de incumplimientos internos o de actividades ilícitas de la empresa es uno de los elementos clave de los modelos de prevención”.
Por tanto, los canales de denuncia son fundamentales en el momento de implantar un modelo efectivo de cumplimiento normativo (o compliance) en una organización para prevenir la comisión de delitos.
¿Cuál es la base jurídica que legitima el tratamiento de los datos de los denunciados?
Otro aspecto, que conviene destacar y que debería ser objeto de actualización es en relación a la base jurídica que legitima el tratamiento de los datos del denunciado, que, obviamente, no ha consentido ni consentirá nunca que sea denunciado internamente.
Para la AEPD, esta base jurídica es la necesidad del tratamiento para el mantenimiento o cumplimiento de una relación contractual, lo cual limita el alcance del canal de denuncias exclusivamente a temas laborales.
Sin embargo, una sentencia de 2012 del TJUE abrió la puerta para que se pudiese aplicar la base jurídica consistente en el “interés legítimo” de las empresas (al anular el requisito de la LOPD de que, para aplicar ese interés legítimo, los datos procediesen de fuentes accesibles al público).
Del mismo modo, el GDPR también prevé la posibilidad de aplicar el interés legítimo como base que legitima el tratamiento sin necesidad de que los datos procedan de fuentes accesibles al público.
Teniendo en cuenta que el informe de la AEPD data del año 2007, resultaría interesante valorar la actualización del informe de la AEPD y proponer la aplicación del interés legítimo como base legitimadora del tratamiento sin necesidad de consentimiento.
¿Se permite realmente la denuncia anónima?
Tema polémico sin lugar a dudas.
Como he comentado anteriormente, el informe de la AEPD, defiende que la denuncia nuncadeberá ser anónima siempre y cuando la confidencialidad de la identidad del denunciante sea garantía suficiente.
Sin embargo, el GT29 parece no ser tan estricto. Por un lado entiende que el sistema de denuncia deberá gestionarse de forma que no se fomente la denuncia anónima de manera general, y considera que las empresas no deberían dar a conocer esta forma de presentar denuncias. Pero, por otro lado, considera que, si a pesar de garantizarle al denunciante la confidencialidad de su identidad (para así evitar posibles represalias) y asegurarle la no comunicación de sus datos al propio denunciado o a terceros, quisiera mantener el anonimato como medida de última ratio, la denuncia se aceptará.
No hay que olvidar que en el marco de una investigación en un procedimiento judicial, puede ser necesario revelar la identidad de las personas implicadas por lo que la tramitación de denuncias anónimas debe ser objeto de especial precaución.
En esta misma línea, en 2016, se publicó una guía por parte del “Supervisor de Protección de Datos Europeo” (en sus siglas en inglés EDPS) respecto del correcto tratamiento de información personal en los procesos de denuncias internas. Opina que los canales no deberán ser anónimos para así evitar abusos y permitir una efectiva protección contra posibles represalias y una mejor gestión del expediente en caso de requerirse información adicional.
Por último, desde el punto de vista judicial, parece que vamos por la línea del GT29 defendiendo una postura más permisiva ya que, recientemente, la Sala de lo Social del TSJ de Canarias en su sentencia nº 2117/2016 de 22 de junio, se ha pronunciado en tal sentido en contra del informe de la AEPD, en la que se defiende:
1º) Por un lado, que el incumplimiento de las “orientaciones” de la AEPD sobre esta materia no supone una vulneración del derecho fundamental a la protección de datos del denunciando, en el trascurso del propio tratamiento de esos datos.
2º) Y por otro lado, que el anonimato no puede impedir que la empresa constituya un sistema interno con el objetivo de recabar el hecho contrario a la norma, investigarlos, y en su caso sancionar la trabajador infractor.
Como conclusión, teniendo en cuenta la citada doctrina y la opinión del GT29 (que será el futuro Comité Europeo de Protección de Datos), parece previsible una futura modificación de la postura de la AEPD de manera que se permita como excepción el anonimato de la denuncia.
Actualización
El pasado 29 de julio conocimos el contenido del Anteproyecto de la LOPD. En el mismo, se dedica un artículo específico a los sistemas de información de denuncias internas en el sector privado. A pesar de ser un texto aun no definitivo, queremos trasladaros que en el mismo se redacta de forma expresa la previsión de que la denuncia del empleado o tercero pueda ser anónima. De esta manera, se confirmaría la postura que defiende tanto de la Doctrina anteriormente citada como la del GT29. En cualquier caso, os iremos informando cuando se apruebe el texto definitivo de la norma.
Lara Puyol
Departamento Legal