Dentro de los Programas de Compliance, la necesidad de una mayor regulación de los sistemas de información de denuncias internas ha sido uno de los principales comentarios de los expertos en la materia.
Hasta ahora, como guía solamente existían las directrices fijadas en un informe del Gabinete Jurídico de la Agencia Española de Protección de Datos y en la Circular 1/2016, de 22 de enero, de la Fiscalía General del Estado.
No obstante, el artículo 24 del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal que entrará en vigor en 2018 prevé una mayor regulación de los sistemas de información de denuncias internas en el sector privado.
Informe del Gabinete Jurídico de la Agencia Española de Protección de Datos
En el año 2007, el Gabinete Jurídico de la Agencia Española de Protección de Datos publicó el informe Creación de sistemas de denuncias internas en las empresas (mecanismos de “whistleblowing”). Los principales puntos de dicho informe eran los siguientes:
- Será preciso que la finalidad que justifica el establecimiento de los sistemas de información de denuncias resulte ajustada al adecuado mantenimiento de las relaciones contractuales que vincula al denunciado y a la empresa.
- El sistema resultará acorde con lo dispuesto en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal en caso de que se circunscriba a las denuncias referidas a materias o normas internas o externas cuyo incumplimiento tiene una consecuencia efectiva sobre el mantenimiento de la relación contractual entre la empresa y el denunciado.
- Será preciso aclarar los supuestos o casos que podrán ser objeto de denuncia, especificando las normas a las que los mismos se refieren.
- Deberá exigirse que el sistema únicamente acepte la inclusión de denuncias en que aparezca identificado el denunciante.
- Será imprescindible que se establezca un plazo máximo para la conservación de los datos relacionados con las denuncias. Este plazo deberá limitarse a la tramitación de las medidas de auditoría interna que resultasen necesarias y, como máximo, a la tramitación de los procedimientos judiciales que se derivasen de la investigación realizada.
- La persona acusada en el informe de un denunciante deberá ser informada por la persona a cargo del programa tan pronto como sea posible. No obstante, cuando exista un riesgo importante de que dicha notificación pondría en peligro la capacidad de la sociedad para investigar de manera eficaz la alegación o recopilar las pruebas necesarias, la notificación a la persona incriminada podría retrasarse hasta tres meses.
Circular 1/2016, de 22 de enero, de la Fiscalía General del Estado
En Enero de 2016, la Fiscalía General del Estado publicó la Circular 1/2016, de 22 de enero, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015. En lo referente a los sistemas de información de denuncias internas, la Circular destacaba lo siguiente:
- La existencia de unos canales de denuncia de incumplimientos internos o de actividades ilícitas de la empresa es uno de los elementos clave de los modelos de prevención.
- Resulta imprescindible que la entidad cuente con una regulación protectora específica del denunciante.
- Se deberá garantizar la confidencialidad.
- La externalización de los canales de denuncia podrá servir para garantizar mayores niveles de independencia y confidencialidad.
Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal
Los principales puntos recogidos en el artículo 24 del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal son:
- Las comunicaciones pueden ser anónimas.
- Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información.
- El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento. Sólo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos.
- Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada.
- Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.
- En todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias. Si fuera necesaria su conservación para continuar la investigación, podrán seguir siendo tratados en un entorno distinto por el órgano de la entidad al que competa dicha investigación.