Resumen: La figura del whistleblower se ha
convertido en una pieza fundamental de los programas de Compliance o
cumplimiento regulatorio en la empresa. No obstante, debe buscarse en su
implementación, para cada caso concreto, el equilibrio entre el bien jurídico que
se protege con la materialización del canal de denuncias (la propia
administración de justicia, al delatarse ilícitos, y el preservar el honor de
la persona jurídica [1]) y el riesgo que comporta para los
derechos fundamentales de los intervinientes (Derecho a la intimidad del delator,
y derecho al honor y la intimidad del delatado, además del derecho a la
protección de los datos personales de ambos).
Autor del artículo
|
Colaboración
|
|
José
Luis Colom Planas
|
||
Actualizado
|
12 de julio de 2016
|
|
ÍNDICE
1. ÉTICA, RESPONSABILIDAD PENAL Y
COMPLIANCE
2. LOS CANALES DE DENUNCIA2.1. Introducción
2.2. Justificación histórica
3. EL ORDENAMIENTO JURÍDICO ANTE EL DELATOR
3.1. Derecho Penal
3.2. Derecho Laboral
4. PROTECCIÓN DE DATOS Y CANALES DE DENUNCIAS
4.1. Introducción
4.2. Sujeción a la legislación de protección de datos
4.3. Riesgos del sistema de denuncias
4.4. Legitimación de los sistemas de denuncias
4.5. Evaluación de compatibilidad con la normativa de PD
5. GESTIÓN DE LOS SISTEMAS DE DENUNCIAS
5.1. Organización interna
5.2. Externalización del sistema de denuncias
6. LA NORMA ISO 19600:2014 Y LOS CANALES DE DELACIÓN
7. BIBLIOGRAFÍA CONSULTADA
8. CONTROL DE CAMBIOS DEL ARTÍCULO
9. DERECHOS DE AUTOR
1. ÉTICA,
RESPONSABILIDAD PENAL Y COMPLIANCE
Instaurar una cultura empresarial, basada en la integridad y
la gestión responsable, es indudable que aportará beneficios de todo tipo a la
empresa, a medio y largo plazo, ya que muchos ilícitos surgen en un ambiente de
predisposición y permisividad.
- Predisposición por falta de cultura ética en la empresa.
- Permisividad por la falta de medidas de control materializadas en la implementación de un efectivo programa de Compliance.
Para evitar estos riesgos es ineludible el compromiso de la
Dirección para alinear el esfuerzo de todos en esa dirección. Los órganos de
gobierno corporativo deben promover esa cultura ética como preparación
necesaria para el aseguramiento del recomendable programa de cumplimiento.
Solo así, desde los valores y la convicción, se consigue
mitigar la posibilidad de ocurrencia de ilícitos en el seno de las
organizaciones que les acarreen sanciones administrativas, menoscaben la imagen
de la entidad, según el tipo delictivo quizá ocasionen responsabilidad penal a
la persona jurídica e, incluso, a los propios administradores según dispone el
art. 31 CP.
En relación a esto último recordaré que la Ley Orgánica
5/2010, de 22 de junio, por la que se modificaba la Ley Orgánica 10/1995, de 23
de noviembre, del Código Penal, introdujo en el ordenamiento jurídico Español
un nuevo concepto: La responsabilidad penal de las personas jurídicas, que posteriormente
ha venido a consolidarse con la LO 1/2015, de 30 de marzo, por la que se vuelve
a modificar la LO 10/1995, de 23 de noviembre, del Código Penal.
Dentro del numerus
clausus de tipos delictivos que ha establecido el legislador como
susceptibles de responsabilidad penal por parte de una persona jurídica, se
contemplan las conductas de corrupción. [9] Esta
nueva realidad legal sitúa a la empresa en un nuevo plano siendo necesario que dentro de la misma se
incorporen o adapten al nuevo escenario legal códigos éticos, protocolos
internos de actuación y normas de cumplimiento que permitan, mediante un
adecuado control efectivo, proteger la posición jurídica de la empresa de estos
nuevos riesgos frente a posibles actuaciones de corrupción de sus directivos
y/o empleados que puedan desencadenar su responsabilidad penal directa con la
consecuencia de sufrir severas multas y sanciones penales, además del
importante daño reputacional que tal situación generaría.
En esta línea se expresa la Guía de recomendaciones para combatir la corrupción (OCDE 2010) para las empresas.
2. LOS CANALES DE
DENUNCIA
2.1 Introducción
Los canales de denuncia nacen como medios eficaces de
autocontrol para ayudar a las organizaciones a luchar contra la comisión de
ilícitos y evitar la corrupción.
Mediante la posibilidad de ejercer la delación, se pretende
la implicación de todos los miembros de la empresa, y quizá incluso de la cadena de suministro y clientes, en la
preservación de los valores de integridad y responsabilidad que tiendan a
evitar conductas poco éticas, la
comisión de ilícitos en general e incluso posibles conductas antijurídicas
típicas.
Recordaré que el Código
Penal modificado por la LO 1/2015, de 30 de marzo, dispone en el apartado 5 del
artículo 31 bis CP:
“5. Los modelos de organización y gestión a
que se refieren la condición 1.ª del apartado 2 y el apartado anterior deberán
cumplir los siguientes requisitos:
(…) 4.º
Impondrán la obligación de informar de posibles riesgos e incumplimientos
al organismo encargado de vigilar el funcionamiento y observancia del modelo de
prevención. (..)”.
2.2.
Justificación histórica
La ley Sarbanes-Oxley (SOX) fue adoptada por el Congreso de
los EE.UU. en 2002 a raíz de diversos escándalos financieros protagonizados por
empresas. La Sabanes-Oxley Act de 2002, incorpora en 2004 la reforma de las
Federal Sentencing Guidelines for Organizations incluyéndolas en la sección
8B2.2 como Effective Compliance and Ethics Program. Esos nuevos preceptos
establecen para las empresas la puesta en marcha de programas efectivos de
ética y cumplimiento normativo, debiendo ejercer la debida diligencia en
prevenir y detectar comportamientos delictivos.
Esa debida diligencia exige una serie de puntos, entre los
que se encuentra disponer de un sistema a través del cual los empleados y
agentes puedan informar sobre actuales o potenciales conductas delictivas sin
temor a represalias, debiendo incluir mecanismos que permitan el anonimato o la
confidencialidad.
La SOX exige que las empresas públicas de los EE.UU. y sus
filiales en la UE, así como las empresas no estadounidenses que cotizan en
bolsa en los EE.UU., establezcan, en su comité de auditoría, "procedimientos para la recepción,
conservación y tramitación de las denuncias recibidas por el emisor
relativas a la contabilidad, las auditorías internas o las cuestiones de
auditoría; así como para la delación confidencial o anónima por parte de los
empleados del emisor de situaciones relativas a cuestiones de contabilidad
o auditoría cuestionables" Además, el artículo 806 de la SOX
establece una disposición dirigida a garantizar la protección de los
empleados de empresas que cotizan en bolsa que proporcionen pruebas de fraude
frente a las represalias que pudieran tomarse contra ellos por hacer uso del
sistema de denuncia. La Comisión de Valores y Cambio (SEC) es la autoridad
estadounidense responsable de controlar la aplicación de la SOX.
Estas disposiciones están reflejadas en las normas del Nasdaq
y de la Bolsa de Nueva York (NYSE). Las empresas que cotizan en el Nasdaq o la
NYSE deben certificar anualmente sus cuentas ante estos mercados. Este proceso
de certificación implica que las empresas están en condiciones de afirmar que
cumplen con diversas normas, incluidas las normas sobre denuncia de
irregularidades.
Las empresas que no cumplen con estos requisitos de denuncia
de irregularidades están sujetas a fuertes sanciones y multas por parte de
Nasdaq, NYSE o SEC.
A consecuencia de la incertidumbre respecto a la compatibilidad de los sistemas
de denuncia de irregularidades con las normas sobre protección de datos de la
UE, las empresas afectadas se enfrentan al riesgo de ser sancionadas por las
autoridades de protección de datos de la UE si no cumplen las normas sobre
protección de datos de la UE, y por las autoridades de los EE.UU. si no cumplen
las normas de los EE.UU.
La aplicabilidad de algunas disposiciones de la SOX a las
filiales europeas de empresas estadounidenses y a las empresas europeas que
cotizan en los mercados de valores de los EE.UU. es objeto de control judicial
en Estados Unidos. A pesar de esta incertidumbre relativa en cuanto a la
aplicabilidad de todas las disposiciones de la SOX a las empresas establecidas
en Europa, las empresas que están sujetas a la SOX en virtud de disposiciones
extraterritoriales claras de esta ley también quieren estar en condiciones de
cumplir con las disposiciones específicas sobre denuncia de irregularidades de
la SOX.
Esto fue lo que llevó al GT29 a elaborar el Dictamen
1/2006. [7]
3. EL ORDENAMIENTO
JURÍDICO ANTE EL DELATOR
Lo hago en un sentido más amplio que el de considerar
únicamente a quién utiliza un canal interno de denuncias dispuesto para
colaborar a dar cumplimiento a un programa interno de control efectivo, ya que consideraré
también a quien denuncia un hecho antijurídico ocurrido en el seno de la
empresa ante la autoridad judicial.
3.1.
Derecho Penal
En Derecho Penal debemos plantearnos dos claras cuestiones
respecto a la figura del delator:
- Si existe obligación de, si no impedir, al menos denunciar determinados delitos.
- Si la delación puede representar, especialmente si se está bajo deber de secreto, una conducta delictiva para quién delata.
3.1.1. Obligación de denunciar determinados delitos
3.1.1.1 El Código Penal
El artículo 450 CP, concreta el deber de
colaboración inmediata en la prevención de un delito, pero perteneciente a
determinado númerus clausus de tipos, todos ellos personalísimos y relacionados
con: vida, integridad, salud, libertad o libertad sexual:
“1. El que, pudiendo hacerlo con su
intervención inmediata y sin riesgo propio o ajeno, no impidiere la comisión de
un delito que afecte a las personas en su vida, integridad o salud, libertad
o libertad sexual, será castigado con la pena de prisión de seis meses a
dos años si el delito fuera contra la vida, y la de multa de seis a
veinticuatro meses en los demás casos, salvo que al delito no impedido le
correspondiera igual o menor pena, en cuyo caso se impondrá la pena inferior en
grado a la de aquél.
En las mismas penas incurrirá quien,
pudiendo hacerlo, no acuda a la autoridad o a sus agentes para que impidan un
delito de los previstos en el apartado anterior y de cuya próxima o actual
comisión tenga noticia”.
En los demás casos no
contemplados por las excepciones dispuestas en el artículo 450.1 CP, se deduce
que la colaboración con la justicia es un compromiso de carácter ético y no un
bien tutelado penalmente. Incluso en esas excepciones la exigencia del deber
cívico de colaboración con la Administración de Justicia contra la comisión de
esos delitos, queda limitada, en todo caso, a la posibilidad de poder impedir
el delito y que la intervención se realice sin riesgo propio ni ajeno, o en
ponerlo en conocimiento de la autoridad pública para que lo impida.
El artículo 408 CP es otro precepto que prevé el
castigo de quien omite promover la persecución del delito, aunque circunscrito
a autoridades o funcionarios. Sin embargo, desde que puede imputarse a
sociedades públicas participadas por el sector privado en el 50'01 % de su
accionariado (según dispone el artículo 31 quinquies CP, especialmente en su
apartado 2), es también relevante desde el punto de vista del Compliance.
“La autoridad o funcionario que, faltando a
la obligación de su cargo, dejare intencionadamente de promover la
persecución de los delitos de que tenga noticia o de sus responsables,
incurrirá en la pena de inhabilitación especial para empleo o cargo público por
tiempo de seis meses a dos años”.
El artículo 11 CP sobre la comisión por omisión es
aplicable a aquel empresario/garante (por ley o por contrato) que no impida el
delito.
“Los delitos que consistan en la producción
de un resultado sólo se entenderán cometidos por omisión cuando la no
evitación del mismo, al infringir un especial deber jurídico del autor,
equivalga, según el sentido del texto de la ley, a su causación. A tal efecto
se equiparará la omisión a la acción:
Cuando exista una específica obligación
legal o contractual de actuar.
Cuando el omitente haya creado una ocasión
de riesgo para el bien jurídicamente protegido mediante una acción u omisión
precedente”.
Recomiendo, en este mismo
blog, el artículo titulado: Responsabilidad
por deber de garante: Aplicación al CCO y al DPO
3.1.1.2 La Ley de Enjuiciamiento Criminal
Por su parte, la Ley de
Enjuiciamiento Criminal (LECRIM), dispone en su artículo 259:
“El que presenciare la perpetración de cualquier
delito público está obligado a ponerlo inmediatamente en conocimiento del
Juez de instrucción, de paz, comarcal o municipal, o funcionario fiscal más
próximo al sitio en que se hallare, bajo la multa de (…)”.
Debería analizarse el
concepto “cualquier delito público” y su aplicación en
el “ámbito privado” de la empresa. Si el legislador hubiera querido
universalidad, simplemente hubiera podido referirlo como “cualquier delito”
sin más.
3.1.2.
Delación bajo deber de secreto
Cabe plantease si la revelación por parte de un sujeto de la
comisión de un hecho delictivo en el seno de su empresa sería constitutiva de
un delito de violación de secretos empresariales tipificado en el art. 278 CP y siguientes.
Concretamente estos artículos disponen:
- 278.1 CP: “1. El que, para descubrir un secreto de empresa se apoderare por cualquier medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos que se refieran al mismo, o empleare alguno de los medios o instrumentos señalados en el apartado 1 del artículo 197, será castigado con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses”.
- 278.2 CP: “2. Se impondrá la pena de prisión de tres a cinco años y multa de doce a veinticuatro meses si se difundieren, revelaren o cedieren a terceros los secretos descubiertos”.
- 279 CP: “La difusión, revelación o cesión de un secreto de empresa llevada a cabo por quien tuviere legal o contractualmente obligación de guardar reserva, se castigará con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses. Si el secreto se utilizara en provecho propio, las penas se impondrán en su mitad inferior”.
El bien jurídico protegido por el secreto de empresa es la
capacidad competitiva de la empresa en el mercado. Lo que no puede comprender son
aquellas situaciones en las que esa capacidad competitiva aumente o se mantenga
a partir de la comisión de hechos ilícitos. En consecuencia, el secreto,
como valor de empresa, no puede ser entendido como encubridor de un hecho de
carácter ilícito, administrativa o penalmente, porque además no se estaría
llevando a cabo una competencia leal para el resto de competidores. [3] Es
así ya que en el fundamento del secreto de empresa confluyen tanto la voluntad
del titular como el interés real y objetivo del hecho (MORALES PRATS).
Incluso sectores doctrinales señalan que la conducta de
delación, incluso estando coartada por el secreto de empresa, podría quedar
legitimada por una causa de justificación (ejercicio de la libertad
sindical, ejercicio del derecho de prevención de riesgos laborales, contra la
Hacienda Pública, etc.). [4]
Resumiré diciendo, como se ha afirmado por la doctrina, que el
concepto de secreto es un concepto formal o instrumental que debe ponerse en
relación con el bien jurídico para ser dotado de contenido y averiguar así
qué secretos deben ser, o no, tutelados penalmente.
[5]
3.1.3.
Delito contra la intimidad
Podría también plantearse que la delación podría ser
constitutiva de un delito contra la intimidad respecto al descubrimiento y
revelación de secretos conocidos en virtud de una relación laboral o profesional.
Concretamente el art. 199
CP dispone:
“1. El que revelare secretos
ajenos, de los que tenga conocimiento por razón de su oficio o sus relaciones
laborales, será castigado con la pena de prisión de uno a tres años y multa
de seis a doce meses.
2. El profesional que, con
incumplimiento de su obligación de sigilo o reserva, divulgue los secretos de
otra persona, será castigado con la pena de prisión de uno a cuatro años,
multa de doce a veinticuatro meses e inhabilitación especial para dicha
profesión por tiempo de dos a seis años”.
Podríamos estar en presencia de una “perversión jurídica” ya
que la conexión entre el objeto (el secreto) y el bien jurídico (la intimidad)
requiere que aquél se refiera a los aspectos más privados y personales del
sujeto. Así podríamos llegar a entender que la comisión de un hecho delictivo
puede pertenecer a la esfera más íntima de la persona.
Ante tal planteamiento, solo cabe afirmar que en un Estado de
Derecho el alcance de la protección de la intimidad de un sujeto no puede
ser tal que absorba y ampare la comisión de un hecho delictivo, ya que
todos los derechos fundamentales tienen límites.
En consecuencia la revelación por parte del trabajador de
la comisión de un hecho delictivo, llevado a cabo en o por la empresa, no será
constitutivo de delito de revelación de secretos tipificado en el art. 197 CP, ni de quebrantamiento de
secreto según el art. 199 CP.
En todo caso la denuncia no puede ser falsa y deberá estar
justificada.
Podríamos resumir diciendo que a quién debe protegerse y
blindarse es a quién denuncia un hecho delictivo y no al que esconde la
comisión de un delito.
3.2.
Derecho Laboral
Analizaremos aquí las consecuencias laborales que la
revelación de un ilícito, ya sea penal o administrativo, puede acarrear al
trabajador.
Analizaremos si la libertad de expresión o información en el
ámbito laboral puede verse limitada por:
- La buena fe contractual.
- El deber de secreto.
El trabajador, como persona, es titular de los derechos
fundamentales que le otorga la constitución en un Estado de Derecho. No
obstante, esos derechos circunscritos en el ámbito de las relaciones laborales
pueden verse modulados de forma que se equilibren con los intereses del
empresario.
3.2.1. La
buena fe contractual
La buena fe es uno de los deberes básicos de los
trabajadores, según se desprende de la LET - Real Decreto Legislativo 1/1995,
de 24 de marzo, por el que se aprueba el texto refundido de la Ley del Estatuto
de los Trabajadores, que en su art. 5 dispone: “Los
trabajadores tienen como deberes básicos: a) Cumplir con las obligaciones
concretas de su puesto de trabajo, de conformidad a las reglas de la buena
fe y diligencia”. Y en su art. 54, sobre el despido
disciplinario, dispone: “1. El contrato
de trabajo podrá extinguirse por decisión del empresario, mediante despido
basado en un incumplimiento grave y culpable del trabajador. 2. Se considerarán
incumplimientos contractuales: (…) d) La transgresión de la buena fe
contractual, así como el abuso de confianza en el desempeño del trabajo.
Se trata pues de discernir si la denuncia por parte del
trabajador sobre irregularidades o ilícitos en la empresa se considerará una
transgresión de la buena fe y el empresario puede despedirlo
disciplinariamente.
Empezaré diciendo se ha definido la buena fe como una
conducta que la conciencia social exige, conforme a un imperativo ético de toda
actuación. En consecuencia, la buena fe en una relación laboral es
bidireccional en el sentido que, además de imponer deberes al trabajador,
también los impone al empresario que solo podrá exigir una actuación de
buena fe cuando la suya, como representante de la empresa, sea correcta. Así, empresario
y trabajador tienen derecho a esperar de la otra parte una actuación leal,
confiando que su actuación sea social y contractualmente correcta.
La buena fe, en tanto instrumento de protección del interés
económico del empresario que es capaz de limitar el derecho a la libertad de expresión e
información de los trabajadores, no puede conllevar el amparo de prácticas
ilegales por parte de aquél.
3.2.2. El
deber de secreto
El deber de secreto exigido al trabajador, en base a la buena
fe, supone una manifestación del poder de decisión del empresario. Sin embargo,
éste únicamente podrá requerirse cuando exista un interés empresarial legítimo
y no ante decisiones desconectadas de la relación laboral. [6] Señala el TC en su STC
6/1988, de 21 de enero, que “el deber de
buena fe que pesa sobre el trabajador no se puede interpretar en términos tales
que vengan a resultar amparadas por esta exigencia de honestidad y lealtad en
el cumplimiento de las obligaciones, situaciones o circunstancias que, lejos de
corresponderse con el ámbito normal y regular de la prestación de trabajo,
supondrían desviaciones de tal normalidad”. Señalándose también en
esta Sentencia que el deber de secreto se refiere “a
los datos que correspondan a la actividad y el tráfico ordinario y reguladores
de la empresa”.
Se llega a la conclusión que el deber de secreto abarca
los relativos a la explotación del negocio y no puede suponer el encubrimiento
de irregularidades o fraudes. Frente a ese secreto, la libertad de
expresión e información del trabajador
ampara a aquellas personas que denuncien la comisión de un hecho
ilícito, siempre que sean veraces y no rumores carentes de toda constatación.
4.
PROTECCIÓN DE DATOS Y CANALES DE DENUNCIAS
4.1.
Introducción
Para este apartado del análisis me basaré en:
- Dictamen 1/2006 [7] relativo a la “aplicación de las normas sobre protección de datos de la UE a los sistemas internos de denuncia de irregularidades en los ámbitos de la contabilidad, controles de auditoría internos, cuestiones de auditoría, lucha contra la corrupción y delitos financieros y bancarios”, por parte del Grupo de Trabajo Consultivo Europeo del Artículo 29 (GT29).
- Informe titulado “creación de sistemas de denuncias internas en las empresas (mecanismos de whistleblowing)” [8] elaborado por el Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) a raíz de la consulta planteada por una industria farmacéutica.
4.2.
Sujeción a la legislación de protección de datos
El Grupo de Trabajo subraya también que los sistemas de
denuncia de irregularidades deben aplicarse de conformidad con las normas sobre
protección de datos de la UE. De hecho, la aplicación de los sistemas de
denuncia de irregularidades, en la gran mayoría de los casos, se basará en el
tratamiento de datos personales (es decir, en la recogida, registro, almacenamiento,
revelación y destrucción de datos relacionados con una persona identificada o
identificable), lo que significa que son aplicables las normas sobre protección
de datos.
4.3.
Riesgos del sistema de denuncias
El GT29 observa que, si bien la normativa y las directrices
existentes sobre denuncia de irregularidades tienen como objeto prever una
protección específica para la persona que utiliza el sistema de denuncia de
irregularidades (el denunciante), nunca mencionan en particular la
protección de la persona denunciada, en especial por lo que se refiere al
tratamiento de sus datos personales. Sin embargo, incluso habiendo sido denunciado,
un individuo tiene derecho a los beneficios que le conceden la Directiva 95/46/CE
y las disposiciones correspondientes del Derecho nacional que en España es la LOPD
- LO 15/1999, de 13 de diciembre, que en su art. 2.1 dispone: “La presente Ley Orgánica será de aplicación a los
datos de carácter personal registrados en soporte físico que los haga susceptibles
de tratamiento, y a toda modalidad de uso posterior de estos datos por los
sectores público y privado”. Y en su art. 3 c) define tratamiento
como: “Operaciones y procedimientos
técnicos de carácter automatizado o no, que permitan la recogida, grabación,
conservación, elaboración, modificación, bloqueo y cancelación, así como las
cesiones de datos que resulten de comunicaciones, consultas, interconexiones y
transferencias”.
Aplicar las normas sobre protección de datos de la UE a los
sistemas de denuncia de irregularidades supone dar una consideración específica
a la cuestión de la protección de la persona que puede verse incriminada en una
denuncia. A este respecto, el Grupo de Trabajo subraya que los sistemas de
denuncia de irregularidades implican un riesgo muy grave de estigmatización y
persecución de esa persona en la organización a la que pertenece. Esta
persona quedará expuesta a tal riesgo incluso antes de que ella misma sea consciente
de que ha sido incriminada y se hayan investigado los presuntos hechos para determinar
si efectivamente se han producido.
El Grupo de Trabajo opina que la correcta aplicación de
las normas sobre protección de datos a los sistemas de denuncia de
irregularidades contribuirá a paliar los riesgos mencionados. También
considera que, lejos de impedir que estos sistemas funcionen de acuerdo con el
objeto previsto, la aplicación de estas normas contribuirá en general al correcto
funcionamiento de los sistemas de denuncia de irregularidades.
4.4.
Legitimación de los sistemas de denuncias
Para que un sistema de denuncia de irregularidades sea legal
desde el punto de vista del tratamiento de datos personales, ese tratamiento
deberá ser legítimo y cumplir alguno de los requisitos expuestos en el art. 7
(dentro de la SECCIÓN II, sobre PRINCIPIOS RELATIVOS A LA LEGITIMACIÓN DEL
TRATAMIENTO DE DATOS) de la Directiva 95/46/CE.
De los seis condicionantes habilitadores del art. 6 de la
Directiva, únicamente tres podrían ser pertinentes para legitimar los canales
de denuncias:
- Es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento.
- Es necesario para la ejecución de un contrato en el que el interesado sea parte.
- Es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.
4.4.1.
Cumplimiento de una obligación jurídica
No todos los estados europeos tienen legisladas obligaciones
jurídicas de implantar los canales de denuncia en las empresas. Lo que si
suelen haber son normas o regulaciones sectoriales, por ejemplo en la banca,
donde la mayoría de los gobiernos han decidido reforzar el control interno
especialmente en lo que se refiere a sociedades de inversión y crédito.
Concretamente la Ley 24/1988, de 28 de julio, del Mercado de
Valores, en su art. 70 ter establece: “2. Las
empresas de servicios de inversión y las restantes entidades que, de conformidad
con lo dispuesto en este Título, presten servicios de inversión deberán definir
y aplicar políticas y procedimientos adecuados para garantizar que la
empresa, sus directivos, su personal y sus agentes cumplan las obligaciones que
la normativa del Mercado de Valores les impone. A tal efecto deberán:
d) (…) Asimismo deberán establecer medidas
de control de las operaciones que realicen, con carácter personal, los
miembros de sus órganos de administración, empleados, agentes y demás personas
vinculadas a la empresa, cuando tales operaciones puedan entrañar conflictos de
interés o vulnerar, en general, lo establecido en esta Ley.
Está claro que un control fundamental es el establecido
mediante la implementación de listas de denuncias, al contar con la
imprevisibilidad frente a un control programado mediante unas reglas o
instrucciones concretas.
Recordaré que no se consideran legitimadoras las normas que
vengan impuestas por una legislación extranjera (como las disposiciones de
denuncia de irregularidades de la SOX)
ya que, según el GT29, esto representaría abrir la puerta a ningunear las
normas comunitarias.
Esto viene legitimado en España por el art. 6.1 de la LOPD
que dispone: “El tratamiento de los datos de
carácter personal requerirá el consentimiento inequívoco del afectado, salvo
que la ley disponga otra cosa” y por el art. 11 en sus apartados
1 y 2 que dispone: “Los datos
de carácter personal objeto del tratamiento sólo podrán ser comunicados a un
tercero para el cumplimiento de fines directamente relacionados con las
funciones legítimas del cedente y del cesionario con el previo consentimiento
del interesado. 2. El consentimiento exigido en el apartado anterior no será
preciso: a) cuando la cesión esté autorizada por una ley”.
4.4.2. Necesario
para la ejecución de un contrato
Otra opción es, cuando los canales de denuncia se
suscriben al ámbito de una empresa, los intervinientes (delator y delatado) se
verán vinculados a la misma por una relación laboral, siendo trabajadores de la
misma o, en su caso y en un sentido amplio, mantendrán con la compañía un
vínculo derivado de un contrato de arrendamiento de servicios con algún tipo de
compromiso de exclusividad. En consecuencia, todas las personas cuyos datos
pueden ser tratados mediante el establecimiento de procedimientos de denuncia
mantendrán con la sociedad un vínculo contractual de derecho laboral, civil o
mercantil.
Esto viene legitimado en España por el art. 6.2 de la LOPD
que dispone: “No será preciso el consentimiento
(…) cuando se refieran a las partes de un contrato o precontrato de una
relación negocial, laboral o administrativa y sean necesarios para su mantenimiento
o cumplimiento” y por el art.
11.2 c) que dispone que el consentimiento para la comunicación de datos no será
preciso “Cuando el tratamiento responda a la
libre y legítima aceptación de una relación jurídica cuyo desarrollo,
cumplimiento y control implique necesariamente la conexión de dicho tratamiento
con ficheros de terceros. En ese caso la comunicación solo será legítima en
cuanto se limite a la finalidad que la justifique”.
Es evidente que la empresa debe poder acreditar el haber notificado
previamente, a todos los trabajadores y colaboradores, la existencia del canal
de denuncias y la descripción detallada de la política y normas de uso del
mismo, por ejemplo, mediante un anexo al contrato laboral. O como lo dice
en su informe la AEPD, “sería posible
siempre que existiese pleno conocimiento de la existencia de los mecanismos
descritos por parte de las personas cuyos datos pudieran ser tratados por los
mismos, quedando la existencia de dichos procedimientos incorporada a la
relación contractual como parte integrante de la misma, el tratamiento de los
datos pudiese considerarse necesario para el desarrollo y control adecuado de
la relación contractual, lo que permitiría considerar el mismo amparado en la
Ley Orgánica 15/1999. No obstante, para que la conclusión anteriormente
alcanzada fuera posible, sería preciso que la finalidad que justifica el
establecimiento de los sistemas de denuncia descritos en la consulta resultase
ajustada al adecuado mantenimiento de las relaciones contractuales, de forma
que el sistema se centrase en la denuncia de conductas que pudieran
efectivamente afectar al mantenimiento o desarrollo de la relación contractual
que vincula al denunciado y a la empresa.
La conclusión, en este apartado de legitimación por una
relación contractual, es que la finalidad del sistema de denuncias se ajuste
al adecuado mantenimiento de las relaciones contractuales, de forma que el
sistema se centre en la denuncia de conductas que puedan efectivamente
afectar al mantenimiento o desarrollo de la relación contractual que vincula al
denunciado y a la empresa.
4.4.3.
Necesario para un interés legítimo del responsable
Recordaré las divergencias de traducción o interpretación en
el proceso de transposición de la
Directiva europea 95/46/CE en relación al artículo 10.2.b del RD 1720/2007 de
21 de diciembre, solventadas a partir de la STJUE de 24 de noviembre de 2011,
resultando en las SSTS de la sala 3ª de 8 de febrero de 2012, que lo anuló por
no ser conforme al artículo 7 f) de la Directiva europea. Desde entonces, el
artículo de la directiva es de aplicación directa a nuestro ordenamiento
jurídico.
Concretamente, el artículo 7 f) de la Directiva dispone que
solo serán legítimos los tratamientos de datos que: “(…)
f) es necesario para la satisfacción del interés legítimo perseguido por
el responsable del tratamiento o por el tercero o terceros a los que se
comuniquen los datos, siempre que no prevalezca el interés o los derechos y
libertades fundamentales del interesado que requieran protección con
arreglo al apartado 1 del artículo 1 de la presente Directiva.
Las principales organizaciones internacionales, incluidas la
UE y la OCDE, han reconocido la importancia de establecer principios correctos
de gobernanza empresarial para garantizar el adecuado funcionamiento de las
organizaciones. Estas organizaciones reconocen específicamente el interés de
una organización en establecer procedimientos adecuados que permitan a los
empleados comunicar las irregularidades y las prácticas cuestionables.
Estos procedimientos de información deben garantizar la
existencia de métodos para una investigación proporcionada e independiente de
los hechos comunicados, que incluya un procedimiento adecuado de selección de
las personas que participarán en la gestión del sistema, así como su
seguimiento.
Por otra parte, estas directrices y normativas subrayan que
debe garantizarse la protección de los denunciantes y que deben establecerse
garantías adecuadas que les protejan frente a las represalias (medidas
discriminatorias o disciplinarias).
Sin embargo, la letra f) del artículo 7 requiere que se
alcance un equilibrio entre el interés legítimo exigido por el tratamiento de
datos personales y los derechos fundamentales de los interesados. Este
equilibrio de intereses deberá tener en cuenta la proporcionalidad, la
subsidiariedad, la gravedad de los presuntos delitos que puedan denunciarse y
las consecuencias para los interesados. A efectos del control del equilibrio de
intereses, habrá que establecer las salvaguardias adecuadas. En especial, el
artículo 14 de la Directiva 95/46/CE establece que, en los casos contemplados
en la letra f) del artículo 7, el interesado tendrá derecho a oponerse, en
cualquier momento y por razones legítimas
propias de su situación particular, a que los datos que le conciernan
sean objeto de tratamiento. Evidentemente esas “razones legítimas propias” deberán
estar convenientemente fundadas.
La conclusión es que debería analizarse cada caso particular
de implantación de un canal de denuncias en la empresa, basándose en un interés
legítimo.
4.4.4.
Consentimiento inequívoco del interesado
El que apriorísticamente parece el mejor método de
legitimación, me atrevería a decir que en este caso, circunscrito al ámbito de
la empresa, no lo es. No debería ser admitido el consentimiento como un
fundamento jurídico válido cuando exista un desequilibrio claro entre el
interesado y el responsable (trabajador y empresa).
El GT29 en su Dictamen 5/2011 sobre la definición del
consentimiento, expresa lo siguiente:
“En varios dictámenes, el grupo de
trabajo ha estudiado los límites del consentimiento en situaciones en las que
no puede manifestarse libremente. Se trata de sus dictámenes sobre los
registros sanitarios electrónicos (WP131), el tratamiento de datos en el
contexto del empleo (WP48) y el tratamiento delos datos por la Agencia
Mundial Antidopaje (WP162)”.
En el mencionado dictamen 8/2001 en el ámbito laboral (WP48),
el GT29 considera: “CONSENTIMIENTO.
El grupo de trabajo del artículo 29 considera que si un empresario debe tratar
datos personales como consecuencia inevitable y necesaria de la relación
laboral, actuará de forma engañosa si intenta legitimar ese tratamiento a
través del consentimiento. El recurso al consentimiento deberá limitarse
a los casos en que el trabajador pueda expresarse de forma totalmente libre y
tenga la posibilidad de rectificar posteriormente sin verse perjudicado por
ello”.
Este dictamen ha sido refrendado por la AEPD en su Informe Jurídico 0201/2010 que también se refiere al consentimiento de los trabajadores en el entorno laboral. [10]
La conclusión es que el consentimiento inequívoco del
interesado a un canal de denuncias, cuya virtud radica en la universalidad
en el ámbito de la empresa y, en consecuencia, pierde valor ante la
discrecionalidad, no tiene demasiado sentido. Debe tenerse en cuenta
también la falta de legitimación de ese consentimiento expreso ante la
situación de desequilibrio entre trabajador y empresa.
4.5. Evaluación de compatibilidad con la
normativa de PD
4.5.1. Principios de calidad y
proporcionalidad de los datos
El art. 4.1 LOPD
aporta el principio de proporcionalidad disponiendo: “1.
Los datos de carácter personal sólo se podrán recoger para su tratamiento, así
como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no
excesivos en relación con el ámbito y las finalidades determinadas, explícitas
y legítimas para las que se hayan obtenido”.
Significa que los
datos recogidos y tratados a través de un sistema de denuncias deberán
limitarse a los hechos relacionados con éste propósito. Las empresas que
establezcan estos sistemas deberán definir claramente el tipo de información
que puede denunciarse a través del sistema. Los datos personales tratados en el
marco del sistema deberán limitarse a los datos estricta y objetivamente
necesarios para verificar las alegaciones que se hayan realizado. Además, según
el GT29, las denuncias deberán conservarse separadas de otros datos personales.
Un caso especial,
pero posible, se produce cuando los hechos comunicados en el marco de un
sistema de denuncia de irregularidades no se refieran a las áreas contempladas
en el sistema en cuestión. En ese caso podrán enviarse a las personas
competentes de dicha empresa u organización, cuando estén en juego intereses
vitales de la persona a la que se refieren los datos o la integridad moral de los
empleados, o cuando, conforme al Derecho nacional, exista una obligación legal
de comunicar la información a los organismos públicos, autoridades competentes,
o a la Administración de Justicia.
El art. 4.3 continúa
disponiendo: “Los datos de carácter personal
serán exactos y puestos al día de forma que respondan como veracidad a la
situación actual del afectado”.
En consecuencia
deberán adoptarse todas las medidas para que los datos inexactos o incompletos
sean suprimidos o rectificados.
El art. 4.5 dispone
también que “Los datos de carácter personal
serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la
finalidad para la cual hubieran sido recabados o registrados”.
Los datos personales
tratados por un sistema de denuncia de irregularidades deberán eliminarse
rápidamente, y generalmente en el plazo de dos meses tras la finalización de la
investigación de los hechos alegados en la denuncia. Estos períodos serán
diferentes cuando se inicien procedimientos o medidas disciplinarias contra la
persona incriminada o el denunciante en casos de denuncia falsa o difamatoria.
En estos casos, los datos personales se conservarán hasta que finalicen los procedimientos
y el plazo de recurso. Estos períodos de conservación estarán determinados por
la Ley.
Los datos personales
relativos a denuncias que la entidad responsable del tratamiento de la misma
concluya que no tienen fundamento, deberán suprimirse sin demora.
Siempre serán
aplicables las normas nacionales relativas a la conservación de datos en la Empresa.
4.5.2. Cumplimiento del deber de informar
El requisito de una
información clara y completa sobre el sistema obliga al responsable del
tratamiento a informar a los interesados acerca de la existencia, finalidad y funcionamiento
del sistema, los receptores de las denuncias y el derecho de acceso, rectificación
y supresión de las personas denunciadas con las limitaciones que, dada la naturaleza
del sistema, correspondan.
Los responsables del
tratamiento también deberán informar del hecho de que la identidad del
denunciante se mantendrá confidencial a lo largo del proceso, y que el abuso
del sistema podrá dar lugar a una acción contra el autor del abuso. Por otra
parte, también podrá informarse a los usuarios del sistema de que no se
enfrentarán a ninguna sanción si utilizan el mismo de buena fe.
4.5.3. Derechos de información y ARCO
La normativa de
protección de datos hace hincapié en la protección de datos personales del interesado. En consecuencia, desde ese
punto de vista, los sistemas de denuncia de irregularidades deberán centrarse
en los derechos del interesado, sin perjuicio de los derechos del denunciante.
Deberá establecerse un equilibrio de intereses entre los derechos de las partes
afectadas, incluidas las necesidades legítimas de investigación de la empresa.
4.5.3.1 Derechos de información
El artículo 11 de la
Directiva 95/46/CE establece que deberá informarse al interesado cuando los
datos hayan sido recabados de un tercero y no del propio interesado.
Por tanto, la
persona denunciada deberá ser informada por el responsable del sistema lo antes
posible en cuanto se hayan registrado los datos referentes a ella. De
conformidad con el artículo 14 de la Directiva, el interesado tendrá derecho a
oponerse al tratamiento de sus datos si la legitimidad del tratamiento se basa
en la letra f) del artículo 7. Este derecho de objeción, sin embargo, sólo
podrá ejercerse por razones legítimas apremiantes relativas a la situación
particular de la persona.
En especial, el
empleado denunciado deberá ser informado acerca de:
·
La entidad responsable del
sistema de denuncia de irregularidades.
·
Los hechos de los que se le
acusa.
·
Los departamentos o
servicios que pueden recibir la denuncia dentro de su propia empresa o en otras
entidades o empresas del grupo al que pertenezca la empresa.
·
Cómo ejercer sus derechos de
acceso y rectificación.
Sin embargo, cuando
exista un riesgo considerable de que tal notificación pueda comprometer la
capacidad de la empresa para investigar efectivamente la alegación o para
recabar las pruebas necesarias, la notificación al denunciado podrá
retrasarse mientras exista este riesgo. Esta excepción a la regla
establecida por el artículo 11 de la Directiva tiene como objeto conservar
pruebas, evitando su destrucción o alteración por el denunciado. Debe aplicarse
restrictivamente, según cada caso, y deberá tener en cuenta los intereses
mayores en juego.
No obstante, el art.
5.4 LOPD dispone: “Cuando los datos de
carácter personal no hayan sido recabados del interesado, éste deberá ser
informado de forma expresa, precisa e inequívoca, por el responsable del
fichero o su representante, dentro de los tres meses siguientes al momento
del registro de los datos (…)”.
4.5.3.2 Derechos ARCO (acceso, rectificación y oposición)
El artículo 12 de la
Directiva 95/46/CE (art. 15 y 16 LOPD) confiere al interesado la posibilidad de
acceder a los datos registrados a fin de comprobar su exactitud y rectificarlos
si son inexactos o incompletos, o si están desfasados (derecho de acceso y
rectificación). Por consiguiente, el establecimiento de un sistema de denuncia
debe garantizar el respeto de los derechos de los individuos al acceso y
rectificación de los datos incorrectos, incompletos o desfasados.
Sin embargo, el
ejercicio de estos derechos podrá restringirse para garantizar la protección de
los derechos y libertades de otras personas participantes en el sistema. Esta
restricción deberá aplicarse caso por caso.
Bajo
ninguna circunstancia la persona denunciada podrá obtener del sistema
información sobre la identidad del denunciante en virtud del derecho de acceso
del denunciado, excepto cuando el denunciante presente
maliciosamente una declaración falsa. En los demás casos, la confidencialidad
del denunciante deberá garantizarse siempre. Recordaré que el derecho de acceso
queda limitado a los propios datos personales, por lo que la información que
contenga datos de terceras personas, como sucede en este caso con los datos del
denunciante, quedaría excluida del mencionado derecho.
Además, las personas
interesadas tendrán derecho a rectificar o suprimir sus datos cuando el
tratamiento de dichos datos no cumpla con las disposiciones de esta Directiva, en
particular debido a la naturaleza incompleta o inexacta de los datos (artículo
12(b)).
4.5.4. Medidas de seguridad
4.5.4.1 Medidas de seguridad materiales
De conformidad con el
artículo 17 de la Directiva 95/46/CE (art. 9 LOPD), la empresa u organización responsable
de un sistema de denuncia de irregularidades aplicará las medidas técnicas y
organizativas adecuadas para la protección de los datos cuando se recaben, se transmitan
o se conserven. Su objetivo es proteger los datos contra la destrucción, accidental
o ilícita, la pérdida accidental y la difusión o el acceso no autorizados.
Las denuncias podrán
ser recogidas por cualquier medio de tratamiento de datos, electrónico o no. Estos
medios deberán estar especializados para el sistema de denuncia de
irregularidades, a fin de impedir cualquier desvío de su propósito original, y
en aras de una mayor confidencialidad de los datos.
Según el GT29, las
medidas de seguridad deberán ser proporcionadas a los fines de investigar las cuestiones
que se planteen, de conformidad con las normas de seguridad de los distintos
Estados miembros.
Debe recordarse que en
España la Ley Orgánica 15/1999 tiene por objeto la protección de un derecho
fundamental: el derecho a la protección de datos de carácter personal,
considerado como tal por la jurisprudencia de nuestro Tribunal Constitucional,
entre otras, en su Sentencia 292/2000, de 30 de noviembre. También protege el
derecho al honor, la intimidad y la propia imagen. Por este motivo, la aplicación
de dicha normativa deberá ser objeto de interpretación restrictiva, debiendo
prevalecer la interpretación proclive a la protección de los derechos
fundamentales, conforme establece reiterada jurisprudencia del Tribunal
Constitucional. Dado que no será nunca posible conocer a priori el contenido
real del fichero que se generará por medio del sistema y dado que los datos
derivados de las investigaciones y averiguaciones llevados a cabo puede
implicar la inclusión en el sistema de datos especialmente protegidos, la AEPD
concluye que será necesaria la implantación de medidas de seguridad de nivel
alto, según el TÍTULO VIII del RD 1720/2007.
Debo recordar que en
el vigente RGPD/UE, aunque en período de “vacatio legis”, no se clasifica la
Información Identificativa Personal (PII) en niveles como sucede con el actual
RD 1720/2007, ya que se basará en el riesgo.
A título de
ilustración citaré la conclusión al respecto de un artículo publicado en el
blog del Instituto Nacional de Ciberseguridad de España (Incibe_) [13]:
“Será esencial aplicar las medidas de seguridad que correspondan,
conforme al art. 9 LOPD y los artículos 81 y siguientes del Real Decreto
1720/2007. En este sentido, y atendiendo a lo dispuesto por la contestación de
la AEPD, será necesario aplicar al fichero el nivel de seguridad que
corresponda según los datos que contenga. No obstante, dado que es imposible
predecir con certeza el contenido del fichero, por el descrédito que puede
suponer para el trabajador denunciado y las consecuencias que puede llegar a
tener que se conociera la persona denunciante, hacen recomendable la
implantación de medidas de seguridad de, al
menos, el nivel medio”.
4.5.4.2 Confidencialidad de las denuncias
La confidencialidad
de las denuncias es un requisito esencial para el cumplimiento de la obligación
prevista por la Directiva 95/46/CE de seguridad del tratamiento.
Con el fin de cumplir
el objetivo para el cual se ha establecido un sistema de denuncia de
irregularidades y animar a las personas a utilizar el sistema y denunciar
hechos que supongan conducta irregular o actividades ilegales de la empresa, es
esencial que la persona que denuncie goce de una protección adecuada,
garantizando la confidencialidad de la denuncia e impidiendo que terceras
partes conozcan su identidad.
Las empresas que
establezcan sistemas de denuncia de irregularidades deberán adoptar medidas
adecuadas para garantizar que la identidad de los denunciantes sea confidencial
y no se revele al denunciado a lo largo de la investigación.
Sin embargo, si
una denuncia resulta no tener fundamento y el denunciante ha realizado
maliciosamente una declaración falsa, el denunciado podrá querer demandarlo por
difamación, en cuyo caso la identidad del denunciante deberá comunicarse al
denunciado si la legislación nacional lo permite.
Las normas y
principios nacionales sobre denuncia de irregularidades en el ámbito de la
gobernanza empresarial también prevén que el denunciante deberá quedar protegido
frente a medidas de represalia por utilizar el sistema, como medidas disciplinarias
o discriminatorias adoptadas por la empresa u organización.
La confidencialidad
de los datos personales deberá garantizarse en la recogida, revelación o
conservación de los mismos.
4.5.4.3 Denuncias anónimas versus identificadas
El anonimato puede no
ser una buena solución, tanto para el denunciante como para la organización,
por varias razones:
·
El hecho de presentar una
denuncia anónima no impide que los demás acierten al conjeturar quién presentó
la denuncia.
·
Es más difícil investigar la
denuncia si no se pueden hacer preguntas de seguimiento.
·
Es más fácil organizar la
protección del denunciante contra las represalias, especialmente si tal
protección está prevista por la ley, en el caso de que las denuncias se
planteen abiertamente.
·
Las denuncias anónimas
pueden llevar a la gente a centrarse en el denunciante, quizá sospechando que
la denuncia se ha planteado maliciosamente.
·
Una organización corre el
riesgo de desarrollar una cultura de recibir denuncias anónimas maliciosas.
·
El ambiente de la
organización puede deteriorarse si los empleados piensan que a través del
sistema se pueden presentar denuncias anónimas sobre ellos en cualquier
momento.
La tramitación de
denuncias anónimas debe ser objeto de especial precaución. Tal precaución
requeriría, por ejemplo:
- El examen de la denuncia por parte del primer receptor de la misma por lo que se refiere a su admisión y a la conveniencia de que circule en el marco del sistema.
- Considerar si las denuncias anónimas deben investigarse y tramitarse con mayor velocidad que las denuncias confidenciales, debido al riesgo de mal uso.
Esta precaución
especial no significa, sin embargo, que las denuncias anónimas no deban
investigarse sin tener debidamente en cuenta todos los hechos del caso, como si
la denuncia se hubiera realizado abiertamente.
En cuanto a las
normas sobre protección de datos, las denuncias anónimas plantean un problema
específico por lo que respecta al requisito básico de que los datos personales deben
recogerse limpiamente. Por regla general, el Grupo de Trabajo considera que,
para satisfacer este requisito, sólo las denuncias identificadas deben
comunicarse a través del sistema de denuncia de irregularidades.
Sin embargo, el GT29
es consciente de que algunos denunciantes pueden no siempre estar en una
posición o tener la disposición psicológica para presentar denuncias
identificadas. También es consciente del hecho de que las denuncias
anónimas son una realidad en las empresas, incluso y especialmente en
ausencia de sistemas de denuncia de irregularidades confidenciales organizados,
y que esta realidad no puede obviarse. El Grupo de Trabajo considera por tanto
que la existencia de sistemas de denuncia de irregularidades puede dar lugar a
que se presenten denuncias anónimas a través del mismo, y se tengan en cuenta,
pero como excepción a la regla y con las condiciones que se exponen a
continuación.
El GT29 considera que
los sistemas de denuncia de irregularidades deben establecerse de tal manera
que no fomenten la denuncia anónima como la forma habitual de presentar una
denuncia. En especial, las empresas no deberían difundir el hecho de que
pueden presentarse denuncias anónimas a través del sistema. Por el contrario,
dado que los sistemas de denuncia de irregularidades deben garantizar la
confidencialidad de la identidad del denunciante, los individuos que pretendan
denunciar en el marco de un sistema de denuncia de irregularidades deberán
saber que no sufrirán perjuicios debido a su acción. Por esta razón, los
sistemas de denuncia de irregularidades deberán comunicar al denunciante, en el
momento de establecerse el primer contacto, que su identidad se mantendrá
confidencial en todas las etapas del proceso, y en especial no se revelará a
terceros, a la persona incriminada o a los superiores jerárquicos del empleado.
Si, a pesar de esta información, el denunciante desea mantener el anonimato, la
denuncia se aceptará.
No obstante, las
Autoridades de Control españolas (AEPD) parecen interpretarlo de forma más restrictiva
que el grupo consultivo europeo en su Informe Jurídico 128/2007 indica: “Por ello, a fin de garantizar el cumplimiento del
mencionado principio [derecho de acceso] deberá
exigirse que el sistema únicamente acepte la inclusión de denuncias en que aparezca
identificado el denunciante, sin perjuicio de las salvaguardias que se han
señalado para garantizar la confidencialidad de sus datos de carácter personal,
no bastando el establecimiento de un primer filtro de confidencialidad y una
posible alegación última del anonimato para el funcionamiento del sistema”.
Es preciso señalar
que aunque dichos informes de la AEPD no tienen un carácter vinculante, dicha
opinión contiene una argumentación jurídica (vid. STJUE de 24 noviembre 2011,
C-468/10 y 469/10) que debería ser tenida en cuenta para el establecimiento delos
canales de whistleblowing.
No obstante, en la 7ª
sesión anual abierta de la AEPD se planteó la consulta respecto a si la Agencia
había cambiado el criterio en relación con el tratamiento de los datos en el
marco de un canal de denuncias (Informe Jurídico 128/2007), tras la publicación
de Ley Orgánica 1/2015 de 30 de marzo por la que se modifica el Código penal.
En particular, la consulta planteaba si estaría legitimado el tratamiento de
los datos de clientes y proveedores en el marco de la prevención de delitos. La
Agencia en este sentido dio respuesta a la pregunta señalando que:
“(… )La reforma de la
legislación penal podría ayudar a justificar el interés legítimo prevalente,
pero no bastaría por si sola para fundar el tratamiento. En particular la
Agencia ha considerado necesario que las denuncias tengan carácter confidencial
y no anónimo, si bien cabría la contratación de un encargado del tratamiento
que conservase los datos identificativos de los denunciantes sin comunicarlos
en ningún caso a la empresa.”
De este nuevo
pronunciamiento se deduce que la Agencia deja entrever la legitimación a través
de externalizar el canal de delación en un tercero que actuaría como encargado
del tratamiento que disociaría los datos a ser comunicados a la empresa,
conservando los datos identificativos del delator. También podría recabar más
información de considerarse necesario. Si además ese tercero externo es un
despacho de abogados sujeto a deber de secreto, se dota de una estructura
robusta a los canales de delación al ser respetuosos con el nuevo criterio de
la AEPD y tener fuerza probatoria en la jurisdicción penal.
Todo esto viene a
cuento de que las denuncias puramente anónimas tampoco son siempre admisibles
en el ámbito del Derecho Penal, [9] con lo
que podría llegar a reducirse el efecto de atenuación o exclusión de
culpabilidad de las personas jurídicas, en la medida en que estos sistemas
pretendan hacerse valer, llegado el caso, en un procedimiento penal en el que
se viera involucrada la empresa.
Matizando un poco y
con la aportación de algún compañero penalista, es cierto que en el ámbito de
Derecho Penal se exige la identificación del denunciante pero se admiten y podrían
formularse denuncias anónimas con ciertas cautelas. De hecho en la instrucción
núm. 3/1993 de 16 de marzo, [12] la FGE
lo admitió, si bien recomienda prudencia por parte de la fiscalía ante una
denuncia anónima.
Adicionalmente, la
STS de 11 de abril de 2013, que entiende que aunque la Ley de Enjuiciamiento
Criminal exige como requisito la identificación de los denunciantes (art. 266 y
art. 267), considera que la denuncia anónima es legal (se deduce del artículo
308). Considera en definitiva que es legal, si bien es necesario que se actúe con
máxima prudencia y seriedad: “(…)consideramos –en línea con la que
entendemos doctrina científica mayoritaria– que la cualidad de anónima de una
denuncia no impide automática y radicalmente la investigación de los hechos de
que en ella se da cuenta, por más que la denuncia anónima (técnicamente
«delación», sinónimo de «acusar», que puede definirse como «el hecho de revelar
a la autoridad judicial, o demás autoridades y funcionarios competentes la
perpetración de un delito, designando al autor o culpable, pero sin
identificarse el denunciador, cuya identidad se esconde en el anonimato») deba
ser contemplada con recelo y desconfianza. Sin embargo, al no proscribirla
expresamente la Ley de Enjuiciamiento Criminal, no puede decretarse a limine su
rechazo por principio…. En tales casos, el Juez debe actuar con gran prudencia,
y no puede ni debe actuar con ligereza en la admisión o en el rechazo de la
denuncia anónima. Pero si ésta aparenta credibilidad y verosimilitud, debe
inicialmente inquirir, con todos los medios a su alcance, en la comprobación,
prima facie, de la exactitud de su contenido, y si ello fuera afirmativo, puede
proceder desde luego por sí mismo, de oficio, si el delito fuere público, sin
necesidad de la intervención del denunciante y sin ningún otro requisito”.
Por otro lado, no hay
que olvidar que existen leyes de otros países con posible aplicación
extraterritorial como la FCPA o la SOX de EE.UU., que exigen que en los
sistemas de denuncia se establezcan específicamente canales de denuncias
anónimos.
También es necesario
hacer que los denunciantes sean conscientes de que puede ser necesario revelar
su identidad a las personas implicadas en las investigaciones o en los
procedimientos judiciales posteriores iniciados a resultas de la investigación
realizada por el sistema de denuncia de irregularidades.
4.5.5. Registro de ficheros
En España existe,
mientras dure el período de “vacatio
legis” [hasta mayo de 2018] respecto al Reglamento General de Protección de
Datos de la UE, la obligación de notificación e inscripción registral en el
Registro General de Protección de Datos (RGPD) que gestiona la AEPD, según
dispone el art. 26 LOPD: “1. Toda
persona o entidad que proceda a la creación de ficheros de datos de carácter
personal lo notificará personalmente a la Agencia de Protección de Datos”.
Deberán registrarse
los ficheros que contengan los datos procedentes de los canales de denuncias,
con especial consideración a declararlos al menos de nivel medio [o mejor alto],
según la probable sensibilidad de los datos tratados por el sistema.
5. GESTIÓN DE LOS SISTEMAS DE DENUNCIAS
5.1. Organización interna
Este departamento
deberá estar compuesto por personas con formación específica, en número
limitado y con un vínculo contractual por lo que respecta a las obligaciones específicas
de confidencialidad que deben asumir.
El sistema de
denuncia de irregularidades deberá estar estrictamente separado de otros
departamentos de la empresa, como el departamento de recursos humanos.
Este departamento
garantizará, en la medida de lo necesario, que la información recogida y
tratada se transmita exclusivamente a las personas que sean específicamente
responsables, dentro de la empresa o grupo al que pertenezca la empresa, de la
investigación o de la adopción de las medidas necesarias para realizar
el seguimiento de los hechos denunciados.
Las personas que
reciban esta información se asegurarán de que la información recibida se maneje
confidencialmente y esté sujeta a medidas de seguridad.
5.2. Externalización del sistema de
denuncias
5.2.1 Prevenciones de protección de datos
Debe prestarse
especial atención, especialmente en modelos de entrega de servicios basados en
Cloud Computing, por están sujetos a Transferencias Internacionales de Datos
(TID), contempladas en el título V de la LOPD.
En estos casos mi
consejo es mantener una actitud de previsión ex ante de la externalización (responsabilidad in eligendo) y ex post (responsabilidad in vigilando).
5.2.2 Ventajas de externalizar el canal de
delación
Vistos los
planteamientos diversos entre la AEPD, el GT29, la práctica de prueba en
Derecho Penal, etc., vamos a estudiar las ventajas de externalizar el canal de
delación.
·
Por una parte el delator
puede actuar de forma identificada ya que se informa y se aportan las debidas
garantías para que su denuncia o aporte de información esté amparada por el
deber de secreto del abogado, si es éste el que gestiona el canal. De esta
manera no se incumplen los informes jurídicos de la AEPD ni se penaliza la
acción probatoria como podría ocurrir en Derecho Penal.
·
El gestor del canal de
denuncias garantiza contractualmente que anonimizará la información que
transfiera a la empresa, tras filtrarla y recabar cuanta información adicional
considere necesaria, preservando así el anonimato del delator y facilitando una
posible investigación posterior.
·
Además, si el sistema es
capaz de mantener un registro de las diferentes aportaciones y transacciones
respecto al desarrollo y seguimiento de la delación, se considera una prueba
más de la debida diligencia de la empresa en tratar los indicios de delito, demostrando
compromiso y eficacia del modelo de prevención en favor de la exención de
responsabilidad de la persona jurídica.
·
El gestor del canal de
delación actúa como intermediario entre los delatores y el Compliance Officer
y/o la Administración de la sociedad.
·
El hecho de que el servidor
que contiene la base de datos esté fuera del control de la empresa, sus
técnicos o su red, da confianza de confidencialidad al delator.
·
Puede establecerse una
distribución periódica de reportes confidenciales de actividad, para que la
persona jurídica que contrata el canal de delación como servicio (CDaaS) pueda efectuar
un seguimiento del mismo.
6. LA NORMA ISO 19600:2014 Y LOS CANALES DE DELACIÓN
La norma ISO 19600:2014, “Sistemas
de gestión de Compliance - Directrices”, como no podía ser de otra manera,
también considera el canal de delación como una herramienta de comunicación
fundamental, sin menoscabo de otras fuentes de opinión.
Concretamente, en la
cláusula 9.1.3 “Fuentes de opinión sobre el desempeño de Compliance”
dispone:
“La organización debería establecer,
implantar, evaluar y mantener procedimientos para buscar y recibir opiniones de
su desempeño de Compliance de una serie de fuentes, incluyendo:
- empleados, por ejemplo, a través de canales de denuncias, líneas de
ayuda, buzones de opinión y de sugerencias;
- clientes, por ejemplo, a través de un
sistema de control de reclamaciones;
- proveedores;
- reguladores;
- registros de control de procesos y
registros de actividad (incluyendo tanto electrónicos como en papel).
Las opiniones deberían servir como una
fuente clave de mejora continua del sistema de gestión de Compliance.”
En la cláusula 10.1.2 “Escalado de información”, se dispone:
“(…) Un sistema de gestión de Compliance eficaz
debería incluir un mecanismo para que los empleados de la organización y/u
otras personas informen sobre malas prácticas reales o sospechosas, o sobre
violaciones de las obligaciones de Compliance de la organización, de forma
confidencial y sin temor a represalias”.
7. BIBLIOGRAFÍA
CONSULTADA
- [2] Dra. Cristina Rodriguez Yagüe. “LA
PROTECCIÓN DE LOS DELATORES POR EL ORDENAMIENTO ESPAÑOL: ASPECTOS SUSTANTIVOS Y
MATERIALES”, Universidad de Castilla La Mancha, Instituto Derecho Penal Europeo
e Internacional, Págs. 12-26, Cuenca, 2006. [Texto empleado como hilo conductor
del artículo].
- [3] Terradillos Basoco. “DERECHO PENAL DE
LA EMPRESA”, Página 170, Trotta, Madrid, 1995.
- [4] M. M. Carrasco Andrino. “LA PROTECCIÓN
PENAL DEL SECRETO DE EMPRESA”, págs. 278, 280 y ss., Barcelona. 1998.
- [5] M. Bajo y S. Bacigalupo. “DERECHO PENAL
ECONÓMICO”, pág. 485, Ed. Centro de Estudios Ramón Areces, Madrid, 2001.
- [6] M.C. Palomeque López y M. Álvarez de la Rosa. “DERECHO
DEL TRABAJO”, pág. 804, Centro de estudios Ramón Areces. Madrid. 2000.
- [7] GT29. “Dictamen 1/2006 relativo a la aplicación de las normas sobre protección de
datos de la UE a los sistemas internos de denuncia de irregularidades en los
ámbitos de la contabilidad, controles de auditoría internos, cuestiones de
auditoría, lucha contra la corrupción y delitos financieros y bancarios”, adoptado
el 1de febrero de 2006, WP117.
Dictamen
1/2006 GT29
- [8] AEPD. Informe Jurídico 128/2007. “Creación de sistemas de denuncias internas en
las empresas (mecanismos de whistleblowing)”. Gabinete Jurídico.
Informe
Jurídico 1268/2007 AEPD
- [9] TRANSPARENCY INTERNATIONAL ESPAÑA. “PRINCIPIOS
DE TRANSPARENCIA Y PREVENCIÓN DE LA CORRUPCIÓN PARA LAS EMPRESAS”. Documento.
- [10] AEPD. Informe Jurídico 0201/2010. “trata
sobre el consentimiento de los trabajadores en entorno laboral”, Gabinete
Jurídico.
Informe
Jurídico 0201/2010 AEPD- [11] Alonso Hurtado Bueno. “Sistemas de Denuncias Internas en las Organizaciones. El Whistleblowing”. Septiembre de 2008. Incibe_.
- [12] F.G.E. Instrucción 3/1993, de 16 de marzo. “La denuncia anónima: su virtualidad como notitia criminis”.
8. CONTROL DE CAMBIOS
DEL ARTÍCULO
Siguiendo voluntariamente
las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se
incorpora el control de cambios a los artículos de este Blog permitiendo
conocer la trazabilidad de los mismos una vez han sido publicados por primera
vez. Todo ello en concordancia con el último párrafo de la cláusula general de
exclusión de responsabilidad del Blog.
Fecha
|
Cambio
|
Responsable
|
08/10/2014
|
Redacción
inicial del artículo
|
Autor
|
19/09/2015
|
Se
actualiza el artículo con referencias al canal de delación en los estándares
internacionales. Concretamente se añade el capítulo 6. “LA NORMA ISO
19600:2014 Y LOS CANALES DE DENUNCIA”.
También
se actualiza el artículo tras la entrada en vigor de la LO 1/2015, de 30 de
marzo, por la que se modifica la LO 10/1995, de 23 de noviembre, del Código
Penal. Concretamente los apartados 1. “ÉTICA, RESPONSABILIDAD PENAL Y
COMPLIANCE” y 2.1 “Introducción”.
|
Autor
|
20/09/2015
|
A raíz de una aportación,
que agradezco, del fiscal de delitos económicos Juan Antonio Frago Amada en un
debate del grupo de LinkedIn “Business Criminal Law & Compliance / Derecho
Penal Económico &Compliance” relacionado con este mismo artículo, se ha reescrito
el apartado 3.1.1. “Obligación de
denunciar determinados delitos”.
|
Autor
|
12/07/2016
|
Se incorporan al
apartado 4.5 “Evolución de la
compatibilidad con la normativa de protección de datos”, las
aportaciones del compañero Salva Silvestre respecto a la procedencia de las
denuncias anónimas en la jurisdicción penal.
Se ha ampliado el
apartado 5.2 “Externalización del
sistema de denuncias”.
También se incorporan
las referencias bibliográficas [11] y [12].
|
Autor
|
9.
DERECHOS DE AUTOR
Imágenes
bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación es este blog.
La
presente obra y su título están protegidos por el derecho de autor. Las
denominadas obras derivadas, es decir, aquellas que son el resultado de la
transformación de ésta para generar otras basadas en ella, también se ven
afectadas por dicho derecho.
Sobre el autor:
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC.
A
nivel de especialización técnica, ha cursado Ingeniería
técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT
(Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es
Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por
AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301
by BSI (British Standards Institution). Auditor del esquema de
certificación STAR para prestadores de servicios de Cloud Computing (BSI +
Cloud Security Alliance). Ha obtenido la certificación internacional CISA
(Certified Information Systems Auditor) by ISACA (Information Systems Audit and
Control Association). Dispone de las certificaciones ISO 20000 PMI (Process
Management Improvement) e ITIL Service Management by EXIN (Examination
Institute for Information Science).
Desempeña su labor
profesional en la entidad de certificación AUDERTIS como Director de
Auditoría y Cumplimiento Normativo. También colabora con la entidad
certificadora British Standards Institution (BSI) como auditor jefe de
certificación e impartiendo formación para la obtención de la acreditación como
lead auditor, en diferentes marcos normativos, incluidas las especificaciones
del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management
& IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento
respecto a cumplimiento normativo, privacidad y gestión de la seguridad
de la información. Ha participado como lead implementer y lead auditor de
diferentes sistemas de gestión basados en Normas ISO, individuales o
integrados, y en la optimización de sus procesos. Ha realizado diferentes
niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas
a Derecho público o privado. Anteriormente ha ostentado la posición de Director
de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la
información y PBC/FT.
Convencido del valor que
aportan las organizaciones profesionales, es asociado sénior de la APEP
(Asociación Profesional Española de Privacidad), miembro de ISACA
(Information Systems Audit and Control Association), miembro de ISMS Forum
Spain (Asociación Española para el Fomento de la Seguridad de la
Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación
de Técnicos de Informática), ENATIC (Asociación de expertos nacionales
de la abogacía TIC), CUMPLEN (Asociación de Profesionales de
Cumplimiento Normativo) y asociado de INBLAC (Instituto
de expertos en prevención del Blanqueo de Capitales), habiendo sido
ponente o colaborado en casi todas las referidas organizaciones. También lo es
de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT)
habiendo obtenido, junto a algunos colaboradores del mismo, un premio
compartido otorgado por la AEPD.
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.