Como es sabido, el establecimiento en las empresas de sistemas de denuncia (Whistleblowing), esto es, de cauces internos para denunciar las irregularidades detectadas en el cumplimiento de las obligaciones que a unos y otros atañen, constituyen una buena práctica en el gobierno corporativo de las empresas que está experimentando una creciente difusión.
Se trata, a través de estos canales de información, de detectar con presteza aquellos comportamientos o actuaciones que puedan constituir violaciones tanto de las normas generales que rigen la actividad de la empresa como de normas internas de ésta, para que puedan ser diligentemente atajadas.
Nuestra legislación penal que, de una parte, sienta el principio general de responsabilidad penal de las personas jurídicas, pero, de otra, prevé la posibilidad de la exención de esa responsabilidad cuando la empresa haya adoptado modelos de organización y gestión que incluyan medidas de vigilancia y control idóneas para prevenir la comisión de delitos o reducir de forma significativa el riesgo de su comisión (art. 31 bis) C. Penal), constituye un claro incentivo para la implementación en las empresas de sistemas de prevención de riesgos penales, de los que normalmente estos canales de denuncia constituyen un elemento básico.
De hecho, tras la modificación de nuestra Ley penal en el año 2015, han sido muchas las grandes empresas que han introducido estos sistemas de prevención penal, en los que se encuadran los mecanismos de denuncia interna.
Pues bien, comoquiera que el funcionamiento de estos mecanismos de denuncia habitualmente requiere el tratamiento de datos personales –obtención, registro, almacenamiento, organización, estructuración, etc. de datos relativos a una persona– la nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales se ocupa de regularlos. La regulación se contiene en el Título IV de la Ley (“Disposiciones aplicables a tratamientos concretos”), que recoge una serie de supuestos de tratamientos de datos lícitos, concretamente en el art. 24, bajo la rúbrica “sistemas de información de denuncias internas”. El propósito de esta nota es analizar esta previsión legal.
Vaya por delante que lo singular de la regulación legal es que no se constriñe a regular el tratamiento de los datos obtenidos a través de estos sistemas de denuncias internas, sino que, además, incorpora una regulación general sobre los mismos, en la que se define su alcance posible. “Será lícita –dice el primer inciso del apartado primero del precepto- la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente , la comisión en el seno de la misma o en la actuación de terceros que contraten con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable”. La Ley, por tanto, afirma con carácter general la licitud del establecimiento de este tipo de sistema de denuncias y lo refiere a “actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable”, tenor que, en su laxitud, a nuestro juicio abarca asimismo a las propias normas internas de la empresa, el código ético o las normas de buen gobierno corporativo que puedan haberse establecido.
La novedad más importante de esta regulación radica en la previsión de que las denuncias puedan realizarse “incluso anónimamente”. Hasta la entrada en vigor de la Ley la Agencia Española de Protección de Datos, que se había pronunciado en su Informe 128/2007 sobre estos sistemas, había mantenido que podían establecerse canales de denuncia con respecto a personas con los que la empresa mantuviera un vínculo contractual de derecho laboral, civil o mercantil, siempre y cuando existiera pleno conocimiento por parte de las personas cuyos datos pudieran ser tratados, pero había rechazado la licitud de las denuncias anónimas a fin de garantizar “la exactitud e integridad de la información contenida en dichos sistemas”. La Agencia sólo consideraba lícitas las denuncias internas en las que se identificara el denunciante, salvaguardando eso sí su identidad, pero no las anónimas .
Con el nuevo tenor legal en la mano, la situación ha cambiado. En adelante, los sistemas de información de denuncias internas pueden prever las denuncias anónimas y es presumible que esta previsión contribuya al desarrollo de los mismos, pues el anonimato facilita la denuncia. No obstante, hay que subrayar que la denuncia anónima se configura en la Ley como una mera posibilidad del sistema y que, por consiguiente, deberán ser quienes los creen y definan quienes, en consideración a los riesgos e inconvenientes que el anonimato comporta – dice un viejo brocardo que “quien oculta su rostro para acusar, también es capaz de ocultar la verdad en lo que acusa”-, opten por admitirla o por excluirla.
Sea como fuere, en todo caso y de conformidad con lo dispuesto en el último inciso del apartado primero del art. 24, recae sobre la empresa el deber de informar a los empleados y terceros “acerca del alcance de la existencia de estos sistemas de información”. Esta información previa a empleados y terceros sobre la existencia del sistema y su funcionamiento se configura en la Ley, a nuestro entender, como un requisito del que depende la licitud del sistema establecido.
Entrando ya en la regulación del tratamiento de los datos obtenidos, el art. 24. 2 previene que el acceso a los mismos “quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento o a los encargados del tratamiento que eventualmente se designe a tal efecto”. Se trata, obviamente, con esta previsión general de garantizar la confidencialidad de los datos personales tratados en el sistema de información de denuncias.
Este acceso limitado tiene, sin embargo, sendas excepciones: cuando su acceso a otras personas o su comunicación a terceros sea necesaria para adoptar medidas disciplinarias o para la tramitación de los procesos judiciales que procedan. Precisamente en atención a la eventual vertiente disciplinaria laboral de los datos recogidos se prevé expresamente en la Ley que “cuando pueda proceder la adopción de medidas disciplinarias contra un trabajador”, el personal con funciones de gestión y control de recursos humanos tenga acceso a los mismos.
La posible utilización a efectos disciplinario laborales de los datos obtenidos por estos sistemas de denuncia, incluidas las denuncias anónimas, había sido ya avalada por alguna doctrina judicial. En concreto el Tribunal Superior de Justicia de Canarias en ST 22 Jun. 16 entendió “que el recelo que suscita el anonimato no puede impedir que la empresa, primero ponga en marcha un proceso de indagación interna reservada para una ponderación de los hechos valorando su verosimilitud, credibilidad y suficiencia; más adelante, reconocido por el denunciado el hecho que sustenta la denuncia –aunque no el ánimo defraudador- , proceda a la incoación de expediente a efectos de su depuración; y finalmente, contrastada la veracidad calificándolos como falta muy grave proceda a su sanción con el despido”.
La preservación de la confidencialidad de la información es –ya se ha apuntado– una constante preocupación del legislador, que encuentra traducción normativa en el establecimiento del deber, que recae sobre los responsables del sistema, de adoptar “las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado” (art. 24.3).
Ya en su día la Agencia Española de Protección de Datos puso de relieve la necesidad de que se garantizase el tratamiento confidencial de las denuncias presentadas a través de los sistemas de whistleblowing, confidencialidad que viene a exigir que la identidad del denunciante permanezca secreta durante todas las fases del proceso y no se revele a nadie .
Aunque la Ley no establece específicas garantías para el denunciado, la obligación general transcrita que establece permite sostener que sigue vigente la doctrina establecida en su día por la Agencia Española de Protección de Datos, sobre la base de los dictámenes del Llamado Grupo del art. 29. En apretada síntesis :
– El establecimiento de sistemas de denuncia debe hacerse de acuerdo con los principios de protección de datos personales, pues estos sistemas implican un riesgo grave de estigmatización y persecución de las personas denunciadas en el seno de la organización a la que pertenecen.
– La persona denunciada tiene el derecho de ser informada por los responsables del sistema, tan pronto como sea posible, de forma expresa, precisa e inequívoca de los hechos que se le imputan (no sin embargo la identidad del denunciante, cuya confidencialidad debe ser salvaguardada) y de su derecho a ejercer los derechos de acceso, rectificación, cancelación y oposición.
– La información al denunciado puede retrasarse cuando sea necesario para investigar eficazmente la denuncia o recopilar y/o preservar las pruebas obtenidas, sin que pueda demorarse más de tres meses.
La conservación de los datos es el último extremo de la regulación legal. Una sistematización de las previsiones contenidas en el apartado 4 del art. 24, que es el que se ocupa de este particular, da como resultado el siguiente:
1) Con carácter general, “los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados”. Por consiguiente, si a simple vista resulta evidente que los datos son intrascendentes o irrelevantes deben ser suprimidos.
2) Con carácter subsidiario, se prevé un plazo máximo de tres meses desde la introducción de los datos para su conservación, debiendo pasado el mismo procederse a su supresión, “salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica”.
3) En todo caso, los datos de las “denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada” y los relativos a las denuncias cursadas podrán seguir siendo tratados por el órgano encargado de la investigación de los hechos denunciados pero deberán registrarse fuera del propio sistema de información de denuncias internas.
Aunque, como hemos visto, la nueva regulación descrita sigue en esencia las pautas ya en su día establecidas por la Agencia Española de Protección de Datos que sirvieron de marco para el establecimiento de estos sistemas de denuncias internas en nuestras empresas, las novedades que la Ley introduce permiten intuir que, en muchos casos, va a abrirse un proceso de adaptación y modificación de los sistemas hasta ahora establecidos y quizás aumente la implantación de esta figura.
La regulación examinada es, asimismo, de aplicación a los sistemas de denuncias internas que puedan crearse en las Administraciones Públicas, pues así lo establece el apartado final del precepto que hemos examinado.