A través del Informe 128/2007, del Gabinete Jurídico de la Agencia Española de Protección de Datos, se analiza la legalidad de un sistema de denuncia interna (whistleblowing) conforme a la normativa española en materia de protección de datos, puesto que estos sistemas afectan a datos de carácter personal, tanto del denunciante como del denunciado.
El resultado final del informe es entender conforme a la normativa española en materia de protección de datos estos mecanismos, pero siempre que se respeten los siguientes puntos:
Consentimiento e información a los afectados
• Información a la parte denunciante a través del formulario de denuncia.
• Información a la parte denunciada en el plazo máximo de 3 meses desde la interposición de la denuncia.
• Información a todos los empleados de la existencia de estos mecanismos.
• Limitar las denuncias a aquellos hechos relacionados con la implicación en la relación laboral, concretando la empresa en aquel documento qué acciones son objeto de denuncia.
Exactitud de los datos
• Invalidez de la denuncia anónima.
• Plena confidencialidad sobre la identidad del denunciante.
Cancelación de datos
• Los datos deberán ser cancelados en el plazo máximo de 2 meses tras la finalización de la investigación.
• En este sentido, la cancelación implicará el bloqueo de la información si pudiesen derivarse responsabilidades posteriores, algo que resulta factible en este ámbito. Por ello que se recomienda bloquear (conservar de forma separada sin realizar ningún tipo de tratamiento y de forma totalmente confidencial) la información durante un plazo prudencial de un año, únicamente a expensas de una reclamación por parte de un juzgado u otra administración pública con autoridad en la materia (si cumplido ese plazo existiesen expectativas claras de recibir una solicitud de algún tipo de autoridad pública sobre esta información, obviamente, deberá conservarse).
Derechos de los afectados
• El ejercicio del derecho de acceso por parte del denunciado, no abarcará a la identidad del denunciante.
Medidas de seguridad
• Las que correspondan en aplicación del artículo 81 del Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos en atención a la tipología de datos contenidos en la denuncia.
• En concreto, si la denuncia recogiese información sobre vida sexual, salud, religión, origen racial, inclinaciones políticas, afiliación sindical, violencia de género, etc. deberán implantarse las medidas de seguridad de nivel alto.
• Si, por otra parte, no se recogiese más información personal que el nombre del denunciado y los hechos, será suficiente con la implantación de las medidas de seguridad de nivel básico.
Áudea Seguridad de la Información
www.audea.com