Uno de los nuestros se ha “chivado”: Whistleblowing y protección de datos

por

En octubre se acabó publicando la Directiva 2019/1937 relativa a la protección de las personas que informen sobre infracciones en el ámbito laboral (conocida como Directiva de Whistleblowing), poniendo fin a la larga espera. Aunque parezca que solo deben empollársela los consultores y compliance officers, cabe recordar que nuestra LOPDgdd le dedica un artículo por ser un tratamiento de datos personales más, y que esta Directiva es la que determina el procedimiento de denuncias internas en las empresas a nivel europeo.

¿Qué es eso del whistleblowing?

Como prácticamente todos los anglicismos que se utilizan tal cual en el resto en el mundo, esta práctica surge en Estados Unidos en los años 60 y se afianza legalmente con la Whistleblowers protection Act (Ley de protección de denunciantes) norteamericana, y la más conocida: Sarbanes – Oxley Act de 2002.

Este concepto que ostenta año tras año ser uno ser uno de los más buscados en el ámbito jurídico, podría definirse como: denuncia interna dentro de la empresa por comportamientos acciones que pueden vulnera las normas internas, códigos éticos o legislación vigente. Haciendo una traducción más literal (y en opinión del autor más clara): chivarte de los delitos e infracciones que se cometan, o haya indicios de ello, en tu empresa.

Aunque parezca que este artículo va a coger la salida a la autopista del compliance penal, lo cierto es que sigue siendo otro rollo de protección de datos (en Secuoya no sabemos hablar de otra cosa), gracias al artículo 24 de la LOPDgdd.

Anonymous war – batallitas previas al RGPD

La AEPD y el Grupo de artículo 29 mantuvieron posturas contrarias en relación con el hecho de que los denunciantes pudieran amprarse en el anonimato o no:

  • La AEPD en su famoso Informe 128/2007 mantenía que en ningún caso debía permitirse la presentación anónima de denuncias, al entender que la confidencialidad de la identidad del denunciante supone una garantía suficiente.
  • El Grupo del artículo 29 en su Dictamen 1/2006 determinaba que el sistema de denuncia deberá conformarse de manera que no permita la presentación anónima por defecto, pero sí en aquellos casos en que el propio denunciante, una vez haya sido informado de que su identidad no será relevada, que no sufrirá represalias y que su información no será comunicada ni al propio denunciado ni a terceros; siga solicitando realizarlo sin dejar constancia alguna de su identidad por temor a represalias o problemas similares.

A modo de tercero en discordia, el Tribunal Superior de Justicia de Canarias en su Resolución nº 2117/2016, dio por bueno el anonimato en casos excepcionales ya que en caso contrario se corre el riesgo de que el propio sistema no lleve a tramitar ninguna denuncia por miedo a represalias. También se fue dándole un puntapié a la AEPD al determinar que el incumplimiento de las recomendaciones u orientaciones emitidas por esta, no supone, per se, una vulneración del derecho fundamental a la protección de datos del denunciando en el trascurso del propio tratamiento de esos datos.

¿Qué dice la LOPDgdd?

Nuestra vigente y flamante Ley Orgánica de Protección de Datos y garantía de los derechos digitales reconoce ya esa posibilidad de que se pueda realizar de manera anónima, aunque de manera muy parca con la expresión “incluso anónimamente”.

El artículo 24 da indicaciones de los requisitos que debería tener el sistema de whistleblowing como tratamiento de datos que es, pero sin entrar a concretar un procedimiento o estructura y centrándose en lo que llama “sistema de denuncia”.

  • Denunciantes: el sistema se abre a denuncias por actos comentidos por trabajadores o terceros, incluso sobre los proveedores o contratas de la empresa.
  • Información: deber de información para empleados y cualquier tercero afectado.
  • Acceso y cesión: se determina la limitación del acceso al personal designado o encargado del tratamiento contratados, pero sin perjuicio de la cesión al personal con funciones de gestión y control de recursos humanos, o los Tribunales en su caso.
  • Confidencialidad de los datos tratados y preservación de la identidad de los afectados.
  • Limitación de la conservación de los datos al mínimo imprescindible con un plazo máximo de 3 meses desde la entrada de la denuncia, aunque permite el tratamiento de esos datos a posterior para seguir investigándolos en caso de que sea necesario, pero fuera de este “sistema de denuncia”.
  • Mantenimiento de denuncias anónimas: las denuncias no cursadas se pueden mantener de manera anonimizadas en el sistema para demostrar el cumplimiento del mismo.

El propio tratamiento, aplicable a las administraciones públicas, se justificaría por la vía del interés público como matiza específicamente la exposición de motivos de la LOPDgdd.

¿Qué se debe tener cuenta de la flamante Directiva de whistleblowing?

Unido a lo anterior, el pasado 23 de octubre entraba en vigor esta Directiva tan esperada para regular el sistema de denuncias y la protección que se le debe dar a los denunciantes, a los facilitadores, o familiares y compañeros de trabajo del denunciante.

Como principales puntos a destacar en relación con lo que nos interesa, tenemos los siguientes:

  • Denuncias sobre protección de datos y seguridad: dentro de las infracciones objeto de denuncia y que abarcan todo el espectro del ordenamiento, se encuentran específicamente incluidas las relativas a la protección de datos, así como las de seguridad de las redes y sistemas de información de las que se pudieran tener conocimiento, o de posibles brechas. Artículo 2.1.a.x.
  • Secreto profesional: se excluye de la aplicación de la norma el secreto profesional de los médicos y abogados. Artículo 3.3.b.
  • Denunciantes: la figura de denunciante abarca al trabajador, miembros del consejo de administración, personal directivo, voluntarios o personal en prácticas, y cualquier personal que trabaje para proveedores, contratistas o subcontratistas de la empresa, aun cuando comunique o hagan público la infracción tras finalizar su relación laboral. Artículo 4.
  • Obligatoriedad del canal de denuncias: se determina que las empresas de más de 50 trabajadores tienen obligación de constituir un sistema de denuncias internas. Artículo 8.3.
  • Gestión interna o externa: el propio canal de denuncia puede gestionarse internamente por una persona o departamento designado, permitiéndose la gestión por un tercero, como recuerda la LOPDgdd con la mención a posibles encargados del tratamiento al respecto. La propia Directiva en su considerando 56, abre la posibilidad de que el responsable de privacidad (¿posible marrón para el DPO?) pueda ser el encargado de recibir y realizar el seguimiento de las denuncias en entidades de menor tamaño – Artículo 8.5.

  • Privacy by design y by default: el sistema debe diseñarse de manera que garantice la confidencialidad de las partes y la seguridad de información. Artículo 9.1.a y artículo 12. En Secuoya hemos tratado el maravilloso tema del privacy by design en este artículo a cargo de Ángel Benito Rodero (Legal Design y protección de datos).
  • Acuse de recibo: el denunciante deber recibir un acuse de recibo en un plazo máximo de 7 días desde la recepción de la denuncia – Artículo 9.1.b.
  • Plazo: se determina un máximo de 3 meses para resolver la denuncia presentada, coincidente con nuestra LOPDgdd – Artículo 9.f.
  • Cesión por obligación legal: en sintonía con la LOPDgdd, se reconoce la cesión o revelación de la información a las autoridades competentes y los Tribunales en atención a la obligación legal existente. Artículo 16.2.
  • Revelación de la identidad del denunciante: se establece las garantías de que, para revelar la identidad de denunciante, o información que permita identificarle, solo pueda hacerse con su consentimiento. Aunque la directiva dice “expreso”, puede ser un uso jurídico sin el significado tan solemne que le damos en protección de datos a este concepto – Artículo 16.1.
  • Minimización: reconocimiento del principio de minimización al prohibir recopilar datos personales que no sea necesarios y de destruir los recopilados accidentalmente. Artículo 17.
  • Registro de denuncias: obligación de llevar un registro de las denuncias recibidas, siendo conservadas las mismas el tiempo estrictamente necesario (limitación del plazo de conservación). Artículo 18.
  • Sanciones: a la espera de que el legislador nos las dé, pero con el adelanto de que la Directiva menciona que deberán ser disuasorias en caso de falsas denuncias, a sabiendas

En definitiva, esta Directiva contiene elementos que deberán tenerse en cuenta conjuntamente con el artículo concreto de la LOPDgdd. Ya veremos el recorrido que tienen en la ley que el legislador deberá crear al respecto, y que, por una vez, esperemos que lo haga dentro del plazo de 2 años para trasponerla a nuestro derecho.

Bonus clip – Recomendaciones de la CNIL

La CNIL publicó una serie de directrices o recomendaciones sobre whistleblowing basándose en el propio RGPD, su norma de protección de datos conocida como “Ley LIL” y su propia norma de prevención de corrupción y comisión de delitos, conocida como “Ley Sapin II”, aunque no en relación con la Directiva que nos ocupa, aprobada con posterioridad. Como principales puntos en materia de protección datos, sin perjuicio de que el documento es muy interesante e incluye un anexo de medidas de seguridad concretas, tenemos los siguientes:

  • Este tratamiento requiere de una evaluación de impacto previa por estar incluido específicamente en el listado de supuestos sometidos a EIPD publicado por la propia CNIL.
  • La base de legitimación es el cumplimiento de una obligación legal para aquellas materias incluidas en la ley, mientras que para el resto de casos, deberá aplicarse el interés legítimo.
  • Como datos personales estrictamente necesarios para cumplir con la finalidad se entienden los siguientes:
    • Identidad, funciones y datos de contacto del denunciante;
    • Identidad, funciones y datos de contacto de la persona denunciada.
    • Identidad, funciones y datos de contacto de las personas que participan en la recogida o tratamiento de la denuncia.
    • Hechos reportados.
    • Pruebas reunidas en la verificación de los hechos reportados.
    • Informes de verificación y auditorías.
    • Seguimiento de la alerta.
  • Recuerdo del doble juego de legitimación para el tratamiento de datos de categoría especial de los gemelos inversos (6 y 9), que siempre viene bien.
  • Criterios para permitir el anonimato excepcional del denunciante: los hechos sean graves, y se realice un examen previo por el receptor de la denuncia de la conveniencia de difundir la identidad en el sistema de denuncias.
  • Los datos personales excesivos deberán ser destruidos en el momento e la recepción o anonimizados a través de un procedimiento que siga lo marcado en el Dictamen 05/2014 de Anonimización del EDPB.