miércoles, 8 de octubre de 2014

Análisis jurídico de los whistleblowers y los canales de denuncia habilitados en la empresa


Resumen: La figura del whistleblower se ha convertido en una pieza fundamental de los programas de Compliance o cumplimiento regulatorio en la empresa. No obstante, debe buscarse en su implementación, para cada caso concreto, el equilibrio entre el bien jurídico que se protege con la materialización del canal de denuncias (la propia administración de justicia, al delatarse ilícitos, y el preservar el honor de la persona jurídica [1]) y el riesgo que comporta para los derechos fundamentales de los intervinientes (Derecho a la intimidad del delator, y derecho al honor y la intimidad del delatado, además del derecho a la protección de los datos personales de ambos).


Autor del artículo
Colaboración
José Luis Colom Planas
Actualizado
12 de julio de 2016


ÍNDICE

1. ÉTICA, RESPONSABILIDAD PENAL Y COMPLIANCE
2. LOS CANALES DE DENUNCIA
2.1. Introducción
2.2. Justificación histórica
3. EL ORDENAMIENTO JURÍDICO ANTE EL DELATOR
3.1. Derecho Penal
3.2. Derecho Laboral
4. PROTECCIÓN DE DATOS Y CANALES DE DENUNCIAS
4.1. Introducción
4.2. Sujeción a la legislación de protección de datos
4.3. Riesgos del sistema de denuncias
4.4. Legitimación de los sistemas de denuncias
4.5. Evaluación de compatibilidad con la normativa de PD
5. GESTIÓN DE LOS SISTEMAS DE DENUNCIAS
5.1. Organización interna
5.2. Externalización del sistema de denuncias
6. LA NORMA ISO 19600:2014 Y LOS CANALES DE DELACIÓN
7. BIBLIOGRAFÍA CONSULTADA
8. CONTROL DE CAMBIOS DEL ARTÍCULO
9. DERECHOS DE AUTOR

1. ÉTICA, RESPONSABILIDAD PENAL Y COMPLIANCE

Instaurar una cultura empresarial, basada en la integridad y la gestión responsable, es indudable que aportará beneficios de todo tipo a la empresa, a medio y largo plazo, ya que muchos ilícitos surgen en un ambiente de predisposición y permisividad.
  • Predisposición por falta de cultura ética en la empresa.
  • Permisividad por la falta de medidas de control materializadas en la implementación de un efectivo programa de Compliance.

Para evitar estos riesgos es ineludible el compromiso de la Dirección para alinear el esfuerzo de todos en esa dirección. Los órganos de gobierno corporativo deben promover esa cultura ética como preparación necesaria para el aseguramiento del recomendable programa de cumplimiento.

Solo así, desde los valores y la convicción, se consigue mitigar la posibilidad de ocurrencia de ilícitos en el seno de las organizaciones que les acarreen sanciones administrativas, menoscaben la imagen de la entidad, según el tipo delictivo quizá ocasionen responsabilidad penal a la persona jurídica e, incluso, a los propios administradores según dispone el art. 31 CP.

En relación a esto último recordaré que la Ley Orgánica 5/2010, de 22 de junio, por la que se modificaba la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, introdujo en el ordenamiento jurídico Español un nuevo concepto: La responsabilidad penal de las personas jurídicas, que posteriormente ha venido a consolidarse con la LO 1/2015, de 30 de marzo, por la que se vuelve a modificar la LO 10/1995, de 23 de noviembre, del Código Penal.

Dentro del numerus clausus de tipos delictivos que ha establecido el legislador como susceptibles de responsabilidad penal por parte de una persona jurídica, se contemplan las conductas de corrupción. [9]  Esta nueva realidad legal sitúa a la empresa en un nuevo plano  siendo necesario que dentro de la misma se incorporen o adapten al nuevo escenario legal códigos éticos, protocolos internos de actuación y normas de cumplimiento que permitan, mediante un adecuado control efectivo, proteger la posición jurídica de la empresa de estos nuevos riesgos frente a posibles actuaciones de corrupción de sus directivos y/o empleados que puedan desencadenar su responsabilidad penal directa con la consecuencia de sufrir severas multas y sanciones penales, además del importante daño reputacional que tal situación generaría.

En esta línea se expresa la Guía de recomendaciones para combatir la corrupción  (OCDE 2010) para las empresas.

2. LOS CANALES DE DENUNCIA

2.1 Introducción

Dentro de los Principios de Transparencia y Prevención de la Corrupción para las empresas, encontramos que un punto importante es la implementación de canales de denuncias para la comunicación de posibles incumplimientos de las normas internas de la empresa y/o de las normas legales. Estos sistemas permitirán adoptar las pertinentes medidas de investigación, y eventualmente sanción.

Los canales de denuncia nacen como medios eficaces de autocontrol para ayudar a las organizaciones a luchar contra la comisión de ilícitos y evitar la corrupción.

Mediante la posibilidad de ejercer la delación, se pretende la implicación de todos los miembros de la empresa, y quizá incluso de  la cadena de suministro y clientes, en la preservación de los valores de integridad y responsabilidad que tiendan a evitar conductas poco éticas,  la comisión de ilícitos en general e incluso posibles conductas antijurídicas típicas.

Recordaré que el Código Penal modificado por la LO 1/2015, de 30 de marzo, dispone en el apartado 5 del artículo 31 bis CP:

“5. Los modelos de organización y gestión a que se refieren la condición 1.ª del apartado 2 y el apartado anterior deberán cumplir los siguientes requisitos:

(…) 4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. (..)”.



2.2. Justificación histórica

La ley Sarbanes-Oxley (SOX) fue adoptada por el Congreso de los EE.UU. en 2002 a raíz de diversos escándalos financieros protagonizados por empresas. La Sabanes-Oxley Act de 2002, incorpora en 2004 la reforma de las Federal Sentencing Guidelines for Organizations incluyéndolas en la sección 8B2.2 como Effective Compliance and Ethics Program. Esos nuevos preceptos establecen para las empresas la puesta en marcha de programas efectivos de ética y cumplimiento normativo, debiendo ejercer la debida diligencia en prevenir y detectar comportamientos delictivos.

Esa debida diligencia exige una serie de puntos, entre los que se encuentra disponer de un sistema a través del cual los empleados y agentes puedan informar sobre actuales o potenciales conductas delictivas sin temor a represalias, debiendo incluir mecanismos que permitan el anonimato o la confidencialidad.

La SOX exige que las empresas públicas de los EE.UU. y sus filiales en la UE, así como las empresas no estadounidenses que cotizan en bolsa en los EE.UU., establezcan, en su comité de auditoría, "procedimientos para la recepción, conservación y tramitación de las denuncias recibidas por el emisor relativas a la contabilidad, las auditorías internas o las cuestiones de auditoría; así como para la delación confidencial o anónima por parte de los empleados del emisor de situaciones relativas a cuestiones de contabilidad o auditoría cuestionables" Además, el artículo 806 de la SOX establece una disposición dirigida a garantizar la protección de los empleados de empresas que cotizan en bolsa que proporcionen pruebas de fraude frente a las represalias que pudieran tomarse contra ellos por hacer uso del sistema de denuncia. La Comisión de Valores y Cambio (SEC) es la autoridad estadounidense responsable de controlar la aplicación de la SOX.

Estas disposiciones están reflejadas en las normas del Nasdaq y de la Bolsa de Nueva York (NYSE). Las empresas que cotizan en el Nasdaq o la NYSE deben certificar anualmente sus cuentas ante estos mercados. Este proceso de certificación implica que las empresas están en condiciones de afirmar que cumplen con diversas normas, incluidas las normas sobre denuncia de irregularidades.

Las empresas que no cumplen con estos requisitos de denuncia de irregularidades están sujetas a fuertes sanciones y multas por parte de Nasdaq, NYSE o SEC. A consecuencia de la incertidumbre respecto a la compatibilidad de los sistemas de denuncia de irregularidades con las normas sobre protección de datos de la UE, las empresas afectadas se enfrentan al riesgo de ser sancionadas por las autoridades de protección de datos de la UE si no cumplen las normas sobre protección de datos de la UE, y por las autoridades de los EE.UU. si no cumplen las normas de los EE.UU.

La aplicabilidad de algunas disposiciones de la SOX a las filiales europeas de empresas estadounidenses y a las empresas europeas que cotizan en los mercados de valores de los EE.UU. es objeto de control judicial en Estados Unidos. A pesar de esta incertidumbre relativa en cuanto a la aplicabilidad de todas las disposiciones de la SOX a las empresas establecidas en Europa, las empresas que están sujetas a la SOX en virtud de disposiciones extraterritoriales claras de esta ley también quieren estar en condiciones de cumplir con las disposiciones específicas sobre denuncia de irregularidades de la SOX.
Esto fue lo que llevó al GT29 a elaborar el Dictamen 1/2006. [7]


3. EL ORDENAMIENTO JURÍDICO ANTE EL DELATOR

En este apartado analizaré como se contempla a los delatores (wistleblowers) en el ordenamiento jurídico español, concretamente en el Derecho Penal y en el Derecho Laboral, basándome en la publicación referenciada como [2]  en el apartado de bibliografía consultada.

Lo hago en un sentido más amplio que el de considerar únicamente a quién utiliza un canal interno de denuncias dispuesto para colaborar a dar cumplimiento a un programa interno de control efectivo, ya que consideraré también a quien denuncia un hecho antijurídico ocurrido en el seno de la empresa ante la autoridad judicial.

3.1. Derecho Penal

En Derecho Penal debemos plantearnos dos claras cuestiones respecto a la figura del delator:
  • Si existe obligación de, si no impedir, al menos denunciar determinados delitos.
  • Si la delación puede representar, especialmente si se está bajo deber de secreto, una conducta delictiva para quién delata.

3.1.1. Obligación de denunciar determinados delitos

3.1.1.1 El Código Penal

El artículo 450 CP, concreta el deber de colaboración inmediata en la prevención de un delito, pero perteneciente a determinado númerus clausus de tipos, todos ellos personalísimos y relacionados con: vida, integridad, salud, libertad o libertad sexual:

“1. El que, pudiendo hacerlo con su intervención inmediata y sin riesgo propio o ajeno, no impidiere la comisión de un delito que afecte a las personas en su vida, integridad o salud, libertad o libertad sexual, será castigado con la pena de prisión de seis meses a dos años si el delito fuera contra la vida, y la de multa de seis a veinticuatro meses en los demás casos, salvo que al delito no impedido le correspondiera igual o menor pena, en cuyo caso se impondrá la pena inferior en grado a la de aquél.

En las mismas penas incurrirá quien, pudiendo hacerlo, no acuda a la autoridad o a sus agentes para que impidan un delito de los previstos en el apartado anterior y de cuya próxima o actual comisión tenga noticia”.

En los demás casos no contemplados por las excepciones dispuestas en el artículo 450.1 CP, se deduce que la colaboración con la justicia es un compromiso de carácter ético y no un bien tutelado penalmente. Incluso en esas excepciones la exigencia del deber cívico de colaboración con la Administración de Justicia contra la comisión de esos delitos, queda limitada, en todo caso, a la posibilidad de poder impedir el delito y que la intervención se realice sin riesgo propio ni ajeno, o en ponerlo en conocimiento de la autoridad pública para que lo impida.

El artículo 408 CP es otro precepto que prevé el castigo de quien omite promover la persecución del delito, aunque circunscrito a autoridades o funcionarios. Sin embargo, desde que puede imputarse a sociedades públicas participadas por el sector privado en el 50'01 % de su accionariado (según dispone el artículo 31 quinquies CP, especialmente en su apartado 2), es también relevante desde el punto de vista del Compliance.

“La autoridad o funcionario que, faltando a la obligación de su cargo, dejare intencionadamente de promover la persecución de los delitos de que tenga noticia o de sus responsables, incurrirá en la pena de inhabilitación especial para empleo o cargo público por tiempo de seis meses a dos años”.

El artículo 11 CP sobre la comisión por omisión es aplicable a aquel empresario/garante (por ley o por contrato) que no impida el delito.

“Los delitos que consistan en la producción de un resultado sólo se entenderán cometidos por omisión cuando la no evitación del mismo, al infringir un especial deber jurídico del autor, equivalga, según el sentido del texto de la ley, a su causación. A tal efecto se equiparará la omisión a la acción:
Cuando exista una específica obligación legal o contractual de actuar.
Cuando el omitente haya creado una ocasión de riesgo para el bien jurídicamente protegido mediante una acción u omisión precedente”.

Recomiendo, en este mismo blog, el artículo titulado: Responsabilidad por deber de garante: Aplicación al CCO y al DPO

3.1.1.2 La Ley de Enjuiciamiento Criminal

Por su parte, la Ley de Enjuiciamiento Criminal (LECRIM), dispone en su artículo 259:

“El que presenciare la perpetración de cualquier delito público está obligado a ponerlo inmediatamente en conocimiento del Juez de instrucción, de paz, comarcal o municipal, o funcionario fiscal más próximo al sitio en que se hallare, bajo la multa de (…)”.


Debería analizarse el concepto “cualquier delito público” y su aplicación en el “ámbito privado” de la empresa. Si el legislador hubiera querido universalidad, simplemente hubiera podido referirlo como “cualquier delito” sin más.

3.1.2. Delación bajo deber de secreto

Cabe plantease si la revelación por parte de un sujeto de la comisión de un hecho delictivo en el seno de su empresa sería constitutiva de un delito de violación de secretos empresariales tipificado en el art. 278 CP y siguientes.

Concretamente estos artículos disponen:
  • 278.1 CP: 1. El que, para descubrir un secreto de empresa se apoderare por cualquier medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos que se refieran al mismo, o empleare alguno de los medios o instrumentos señalados en el apartado 1 del artículo 197, será castigado con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses”.
  • 278.2 CP: “2. Se impondrá la pena de prisión de tres a cinco años y multa de doce a veinticuatro meses si se difundieren, revelaren o cedieren a terceros los secretos descubiertos”.
  • 279 CP: “La difusión, revelación o cesión de un secreto de empresa llevada a cabo por quien tuviere legal o contractualmente obligación de guardar reserva, se castigará con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses. Si el secreto se utilizara en provecho propio, las penas se impondrán en su mitad inferior”.

El bien jurídico protegido por el secreto de empresa es la capacidad competitiva de la empresa en el mercado. Lo que no puede comprender son aquellas situaciones en las que esa capacidad competitiva aumente o se mantenga a partir de la comisión de hechos ilícitos. En consecuencia, el secreto, como valor de empresa, no puede ser entendido como encubridor de un hecho de carácter ilícito, administrativa o penalmente, porque además no se estaría llevando a cabo una competencia leal para el resto de competidores. [3] Es así ya que en el fundamento del secreto de empresa confluyen tanto la voluntad del titular como el interés real y objetivo del hecho (MORALES PRATS).

Incluso sectores doctrinales señalan que la conducta de delación, incluso estando coartada por el secreto de empresa, podría quedar legitimada por una causa de justificación (ejercicio de la libertad sindical, ejercicio del derecho de prevención de riesgos laborales, contra la Hacienda Pública, etc.). [4]

Resumiré diciendo, como se ha afirmado por la doctrina, que el concepto de secreto es un concepto formal o instrumental que debe ponerse en relación con el bien jurídico para ser dotado de contenido y averiguar así qué secretos deben ser, o no,  tutelados penalmente. [5]

3.1.3. Delito contra la intimidad

Podría también plantearse que la delación podría ser constitutiva de un delito contra la intimidad respecto al descubrimiento y revelación de secretos conocidos en virtud de una relación laboral o profesional.

Concretamente el art. 199 CP dispone:

“1. El que revelare secretos ajenos, de los que tenga conocimiento por razón de su oficio o sus relaciones laborales, será castigado con la pena de prisión de uno a tres años y multa de seis a doce meses.
2. El profesional que, con incumplimiento de su obligación de sigilo o reserva, divulgue los secretos de otra persona, será castigado con la pena de prisión de uno a cuatro años, multa de doce a veinticuatro meses e inhabilitación especial para dicha profesión por tiempo de dos a seis años”.

Podríamos estar en presencia de una “perversión jurídica” ya que la conexión entre el objeto (el secreto) y el bien jurídico (la intimidad) requiere que aquél se refiera a los aspectos más privados y personales del sujeto. Así podríamos llegar a entender que la comisión de un hecho delictivo puede pertenecer a la esfera más íntima de la persona.

Ante tal planteamiento, solo cabe afirmar que en un Estado de Derecho el alcance de la protección de la intimidad de un sujeto no puede ser tal que absorba y ampare la comisión de un hecho delictivo, ya que todos los derechos fundamentales tienen límites.

En consecuencia la revelación por parte del trabajador de la comisión de un hecho delictivo, llevado a cabo en o por la empresa, no será constitutivo de delito de revelación de secretos tipificado en el art. 197 CP, ni de quebrantamiento de secreto según el art. 199 CP.  

En todo caso la denuncia no puede ser falsa y deberá estar justificada.

Podríamos resumir diciendo que a quién debe protegerse y blindarse es a quién denuncia un hecho delictivo y no al que esconde la comisión de un delito.

3.2. Derecho Laboral

Analizaremos aquí las consecuencias laborales que la revelación de un ilícito, ya sea penal o administrativo, puede acarrear al trabajador.

Analizaremos si la libertad de expresión o información en el ámbito laboral puede verse limitada por:
  • La buena fe contractual.
  • El deber de secreto.

El trabajador, como persona, es titular de los derechos fundamentales que le otorga la constitución en un Estado de Derecho. No obstante, esos derechos circunscritos en el ámbito de las relaciones laborales pueden verse modulados de forma que se equilibren con los intereses del empresario.

3.2.1. La buena fe contractual

La buena fe es uno de los deberes básicos de los trabajadores, según se desprende de la LET - Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, que en su art. 5 dispone: “Los trabajadores tienen como deberes básicos: a) Cumplir con las obligaciones concretas de su puesto de trabajo, de conformidad a las reglas de la buena fe y diligencia”. Y en su art. 54, sobre el despido disciplinario, dispone: “1. El contrato de trabajo podrá extinguirse por decisión del empresario, mediante despido basado en un incumplimiento grave y culpable del trabajador. 2. Se considerarán incumplimientos contractuales: (…) d) La transgresión de la buena fe contractual, así como el abuso de confianza en el desempeño del trabajo.

Se trata pues de discernir si la denuncia por parte del trabajador sobre irregularidades o ilícitos en la empresa se considerará una transgresión de la buena fe y el empresario puede despedirlo disciplinariamente.

Empezaré diciendo se ha definido la buena fe como una conducta que la conciencia social exige, conforme a un imperativo ético de toda actuación. En consecuencia, la buena fe en una relación laboral es bidireccional en el sentido que, además de imponer deberes al trabajador, también los impone al empresario que solo podrá exigir una actuación de buena fe cuando la suya, como representante de la empresa, sea correcta. Así, empresario y trabajador tienen derecho a esperar de la otra parte una actuación leal, confiando que su actuación sea social y contractualmente correcta.

La buena fe, en tanto instrumento de protección del interés económico del empresario que es capaz de limitar el derecho a la libertad de expresión e información de los trabajadores, no puede conllevar el amparo de prácticas ilegales por parte de aquél.

3.2.2. El deber de secreto

El deber de secreto exigido al trabajador, en base a la buena fe, supone una manifestación del poder de decisión del empresario. Sin embargo, éste únicamente podrá requerirse cuando exista un interés empresarial legítimo y no ante decisiones desconectadas de la relación laboral. [6] Señala el TC en su STC 6/1988, de 21 de enero, que “el deber de buena fe que pesa sobre el trabajador no se puede interpretar en términos tales que vengan a resultar amparadas por esta exigencia de honestidad y lealtad en el cumplimiento de las obligaciones, situaciones o circunstancias que, lejos de corresponderse con el ámbito normal y regular de la prestación de trabajo, supondrían desviaciones de tal normalidad”. Señalándose también en esta Sentencia que el deber de secreto se refiere “a los datos que correspondan a la actividad y el tráfico ordinario y reguladores de la empresa”.

Se llega a la conclusión que el deber de secreto abarca los relativos a la explotación del negocio y no puede suponer el encubrimiento de irregularidades o fraudes. Frente a ese secreto, la libertad de expresión e información del trabajador  ampara a aquellas personas que denuncien la comisión de un hecho ilícito, siempre que sean veraces y no rumores carentes de toda constatación.

4. PROTECCIÓN DE DATOS Y CANALES DE DENUNCIAS

4.1. Introducción

Para este apartado del análisis me basaré en:
  • Dictamen 1/2006 [7] relativo a la “aplicación de las normas sobre protección de datos de la UE a los sistemas internos de denuncia de irregularidades en los ámbitos de la contabilidad, controles de auditoría internos, cuestiones de auditoría, lucha contra la corrupción y delitos financieros y bancarios”, por parte del Grupo de Trabajo Consultivo Europeo del Artículo 29 (GT29).
  • Informe titulado “creación de sistemas de denuncias internas en las empresas (mecanismos de whistleblowing)” [8] elaborado por el Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) a raíz de la consulta planteada por una industria farmacéutica.

4.2. Sujeción a la legislación de protección de datos

El GT29 indica en su Dictamen que los sistemas internos de denuncia de irregularidades se establecen generalmente como respuesta a la necesidad de aplicar principios adecuados de gobernanza en el funcionamiento diario de las empresas. La denuncia de irregularidades se concibe como un mecanismo adicional para que los empleados comuniquen internamente las irregularidades a través de un canal específico. Este mecanismo complementa el sistema regular de información y comunicación de la organización, compuesto por los representantes de los empleados, los responsables jerárquicos, el personal de control de calidad o los auditores internos cuya misión específica es informar acerca de las irregularidades. La denuncia de irregularidades debería considerarse un sistema subsidiario y no sustitutivo de la gestión interna.

El Grupo de Trabajo subraya también que los sistemas de denuncia de irregularidades deben aplicarse de conformidad con las normas sobre protección de datos de la UE. De hecho, la aplicación de los sistemas de denuncia de irregularidades, en la gran mayoría de los casos, se basará en el tratamiento de datos personales (es decir, en la recogida, registro, almacenamiento, revelación y destrucción de datos relacionados con una persona identificada o identificable), lo que significa que son aplicables las normas sobre protección de datos.

4.3. Riesgos del sistema de denuncias

El GT29 observa que, si bien la normativa y las directrices existentes sobre denuncia de irregularidades tienen como objeto prever una protección específica para la persona que utiliza el sistema de denuncia de irregularidades (el denunciante), nunca mencionan en particular la protección de la persona denunciada, en especial por lo que se refiere al tratamiento de sus datos personales. Sin embargo, incluso habiendo sido denunciado, un individuo tiene derecho a los beneficios que le conceden la Directiva 95/46/CE y las disposiciones correspondientes del Derecho nacional que en España es la LOPD - LO 15/1999, de 13 de diciembre, que en su art. 2.1 dispone: “La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”. Y en su art. 3 c) define tratamiento como: “Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.

Aplicar las normas sobre protección de datos de la UE a los sistemas de denuncia de irregularidades supone dar una consideración específica a la cuestión de la protección de la persona que puede verse incriminada en una denuncia. A este respecto, el Grupo de Trabajo subraya que los sistemas de denuncia de irregularidades implican un riesgo muy grave de estigmatización y persecución de esa persona en la organización a la que pertenece. Esta persona quedará expuesta a tal riesgo incluso antes de que ella misma sea consciente de que ha sido incriminada y se hayan investigado los presuntos hechos para determinar si efectivamente se han producido.

El Grupo de Trabajo opina que la correcta aplicación de las normas sobre protección de datos a los sistemas de denuncia de irregularidades contribuirá a paliar los riesgos mencionados. También considera que, lejos de impedir que estos sistemas funcionen de acuerdo con el objeto previsto, la aplicación de estas normas contribuirá en general al correcto funcionamiento de los sistemas de denuncia de irregularidades.

4.4. Legitimación de los sistemas de denuncias

Para que un sistema de denuncia de irregularidades sea legal desde el punto de vista del tratamiento de datos personales, ese tratamiento deberá ser legítimo y cumplir alguno de los requisitos expuestos en el art. 7 (dentro de la SECCIÓN II, sobre PRINCIPIOS RELATIVOS A LA LEGITIMACIÓN DEL TRATAMIENTO DE DATOS) de la Directiva 95/46/CE.

De los seis condicionantes habilitadores del art. 6 de la Directiva, únicamente tres podrían ser pertinentes para legitimar los canales de denuncias:
  • Es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento.
  • Es necesario para la ejecución de un contrato en el que el interesado sea parte.
  • Es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.

4.4.1. Cumplimiento de una obligación jurídica

No todos los estados europeos tienen legisladas obligaciones jurídicas de implantar los canales de denuncia en las empresas. Lo que si suelen haber son normas o regulaciones sectoriales, por ejemplo en la banca, donde la mayoría de los gobiernos han decidido reforzar el control interno especialmente en lo que se refiere a sociedades de inversión y crédito.

Concretamente la Ley 24/1988, de 28 de julio, del Mercado de Valores, en su art. 70 ter establece: “2. Las empresas de servicios de inversión y las restantes entidades que, de conformidad con lo dispuesto en este Título, presten servicios de inversión deberán definir y aplicar políticas y procedimientos adecuados para garantizar que la empresa, sus directivos, su personal y sus agentes cumplan las obligaciones que la normativa del Mercado de Valores les impone. A tal efecto deberán:

d) (…) Asimismo deberán establecer medidas de control de las operaciones que realicen, con carácter personal, los miembros de sus órganos de administración, empleados, agentes y demás personas vinculadas a la empresa, cuando tales operaciones puedan entrañar conflictos de interés o vulnerar, en general, lo establecido en esta Ley.

Está claro que un control fundamental es el establecido mediante la implementación de listas de denuncias, al contar con la imprevisibilidad frente a un control programado mediante unas reglas o instrucciones concretas.

Recordaré que no se consideran legitimadoras las normas que vengan impuestas por una legislación extranjera (como las disposiciones de denuncia de irregularidades de  la SOX) ya que, según el GT29, esto representaría abrir la puerta a ningunear las normas comunitarias.

Esto viene legitimado en España por el art. 6.1 de la LOPD que dispone: “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa” y por el art. 11 en sus apartados 1 y 2 que dispone: “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. 2. El consentimiento exigido en el apartado anterior no será preciso: a) cuando la cesión esté autorizada por una ley”.

4.4.2. Necesario para la ejecución de un contrato

Otra opción es, cuando los canales de denuncia se suscriben al ámbito de una empresa, los intervinientes (delator y delatado) se verán vinculados a la misma por una relación laboral, siendo trabajadores de la misma o, en su caso y en un sentido amplio, mantendrán con la compañía un vínculo derivado de un contrato de arrendamiento de servicios con algún tipo de compromiso de exclusividad. En consecuencia, todas las personas cuyos datos pueden ser tratados mediante el establecimiento de procedimientos de denuncia mantendrán con la sociedad un vínculo contractual de derecho laboral, civil o mercantil.

Esto viene legitimado en España por el art. 6.2 de la LOPD que dispone: “No será preciso el consentimiento (…) cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”  y por el art. 11.2 c) que dispone que el consentimiento para la comunicación de datos no será preciso “Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En ese caso la comunicación solo será legítima en cuanto se limite a la finalidad que la justifique”.

Es evidente que la empresa debe poder acreditar el haber notificado previamente, a todos los trabajadores y colaboradores, la existencia del canal de denuncias y la descripción detallada de la política y normas de uso del mismo, por ejemplo, mediante un anexo al contrato laboral. O como lo dice en su informe la AEPD, “sería posible siempre que existiese pleno conocimiento de la existencia de los mecanismos descritos por parte de las personas cuyos datos pudieran ser tratados por los mismos, quedando la existencia de dichos procedimientos incorporada a la relación contractual como parte integrante de la misma, el tratamiento de los datos pudiese considerarse necesario para el desarrollo y control adecuado de la relación contractual, lo que permitiría considerar el mismo amparado en la Ley Orgánica 15/1999. No obstante, para que la conclusión anteriormente alcanzada fuera posible, sería preciso que la finalidad que justifica el establecimiento de los sistemas de denuncia descritos en la consulta resultase ajustada al adecuado mantenimiento de las relaciones contractuales, de forma que el sistema se centrase en la denuncia de conductas que pudieran efectivamente afectar al mantenimiento o desarrollo de la relación contractual que vincula al denunciado y a la empresa.

La conclusión, en este apartado de legitimación por una relación contractual, es que la finalidad del sistema de denuncias se ajuste al adecuado mantenimiento de las relaciones contractuales, de forma que el sistema se centre en la denuncia de conductas que puedan efectivamente afectar al mantenimiento o desarrollo de la relación contractual que vincula al denunciado y a la empresa.

4.4.3. Necesario para un interés legítimo del responsable

Recordaré las divergencias de traducción o interpretación en el proceso de transposición  de la Directiva europea 95/46/CE en relación al artículo 10.2.b del RD 1720/2007 de 21 de diciembre, solventadas a partir de la STJUE de 24 de noviembre de 2011, resultando en las SSTS de la sala 3ª de 8 de febrero de 2012, que lo anuló por no ser conforme al artículo 7 f) de la Directiva europea. Desde entonces, el artículo de la directiva es de aplicación directa a nuestro ordenamiento jurídico.

Concretamente, el artículo 7 f) de la Directiva dispone que solo serán legítimos los tratamientos de datos que: “(…) f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.

Las principales organizaciones internacionales, incluidas la UE y la OCDE, han reconocido la importancia de establecer principios correctos de gobernanza empresarial para garantizar el adecuado funcionamiento de las organizaciones. Estas organizaciones reconocen específicamente el interés de una organización en establecer procedimientos adecuados que permitan a los empleados comunicar las irregularidades y las prácticas cuestionables.

Estos procedimientos de información deben garantizar la existencia de métodos para una investigación proporcionada e independiente de los hechos comunicados, que incluya un procedimiento adecuado de selección de las personas que participarán en la gestión del sistema, así como su seguimiento.

Por otra parte, estas directrices y normativas subrayan que debe garantizarse la protección de los denunciantes y que deben establecerse garantías adecuadas que les protejan frente a las represalias (medidas discriminatorias o disciplinarias).

Sin embargo, la letra f) del artículo 7 requiere que se alcance un equilibrio entre el   interés legítimo exigido por el tratamiento de datos personales y los derechos fundamentales de los interesados. Este equilibrio de intereses deberá tener en cuenta la proporcionalidad, la subsidiariedad, la gravedad de los presuntos delitos que puedan denunciarse y las consecuencias para los interesados. A efectos del control del equilibrio de intereses, habrá que establecer las salvaguardias adecuadas. En especial, el artículo 14 de la Directiva 95/46/CE establece que, en los casos contemplados en la letra f) del artículo 7, el interesado tendrá derecho a oponerse, en cualquier momento y por razones legítimas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento. Evidentemente esas “razones legítimas propias” deberán estar convenientemente fundadas.

La conclusión es que debería analizarse cada caso particular de implantación de un canal de denuncias en la empresa, basándose en un interés legítimo.

4.4.4. Consentimiento inequívoco del interesado

El que apriorísticamente parece el mejor método de legitimación, me atrevería a decir que en este caso, circunscrito al ámbito de la empresa, no lo es. No debería ser admitido el consentimiento como un fundamento jurídico válido cuando exista un desequilibrio claro entre el interesado y el responsable (trabajador y empresa).

El GT29 en su Dictamen 5/2011 sobre la definición del consentimiento, expresa lo siguiente:

“En varios dictámenes, el grupo de trabajo ha estudiado los límites del consentimiento en situaciones en las que no puede manifestarse libremente. Se trata de sus dictámenes sobre los registros sanitarios electrónicos (WP131), el tratamiento de datos en el contexto del empleo (WP48) y el tratamiento delos datos por la Agencia Mundial Antidopaje (WP162)”.

En el mencionado dictamen 8/2001 en el ámbito laboral (WP48), el GT29 considera: “CONSENTIMIENTO. El grupo de trabajo del artículo 29 considera que si un empresario debe tratar datos personales como consecuencia inevitable y necesaria de la relación laboral, actuará de forma engañosa si intenta legitimar ese tratamiento a través del consentimiento. El recurso al consentimiento deberá limitarse a los casos en que el trabajador pueda expresarse de forma totalmente libre y tenga la posibilidad de rectificar posteriormente sin verse perjudicado por ello”.


Este dictamen ha sido refrendado por la AEPD en su Informe Jurídico 0201/2010 que también se refiere al consentimiento de los trabajadores en el entorno laboral. [10]


La conclusión es que el consentimiento inequívoco del interesado a un canal de denuncias, cuya virtud radica en la universalidad en el ámbito de la empresa y, en consecuencia, pierde valor ante la discrecionalidad, no tiene demasiado sentido. Debe tenerse en cuenta también la falta de legitimación de ese consentimiento expreso ante la situación de desequilibrio entre trabajador y empresa.



4.5. Evaluación de compatibilidad con la normativa de PD


4.5.1. Principios de calidad y proporcionalidad de los datos


El art. 4.1 LOPD aporta el principio de proporcionalidad disponiendo: “1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.


Significa que los datos recogidos y tratados a través de un sistema de denuncias deberán limitarse a los hechos relacionados con éste propósito. Las empresas que establezcan estos sistemas deberán definir claramente el tipo de información que puede denunciarse a través del sistema. Los datos personales tratados en el marco del sistema deberán limitarse a los datos estricta y objetivamente necesarios para verificar las alegaciones que se hayan realizado. Además, según el GT29, las denuncias deberán conservarse separadas de otros datos personales.


Un caso especial, pero posible, se produce cuando los hechos comunicados en el marco de un sistema de denuncia de irregularidades no se refieran a las áreas contempladas en el sistema en cuestión. En ese caso podrán enviarse a las personas competentes de dicha empresa u organización, cuando estén en juego intereses vitales de la persona a la que se refieren los datos o la integridad moral de los empleados, o cuando, conforme al Derecho nacional, exista una obligación legal de comunicar la información a los organismos públicos, autoridades competentes, o a la Administración de Justicia.


El art. 4.3 continúa disponiendo: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan como veracidad a la situación actual del afectado”.


En consecuencia deberán adoptarse todas las medidas para que los datos inexactos o incompletos sean suprimidos o rectificados.


El art. 4.5 dispone también que “Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados”.


Los datos personales tratados por un sistema de denuncia de irregularidades deberán eliminarse rápidamente, y generalmente en el plazo de dos meses tras la finalización de la investigación de los hechos alegados en la denuncia. Estos períodos serán diferentes cuando se inicien procedimientos o medidas disciplinarias contra la persona incriminada o el denunciante en casos de denuncia falsa o difamatoria. En estos casos, los datos personales se conservarán hasta que finalicen los procedimientos y el plazo de recurso. Estos períodos de conservación estarán determinados por la Ley.

Los datos personales relativos a denuncias que la entidad responsable del tratamiento de la misma concluya que no tienen fundamento, deberán suprimirse sin demora.

Siempre serán aplicables las normas nacionales relativas a la conservación de datos en la Empresa.

4.5.2. Cumplimiento del deber de informar

El requisito de una información clara y completa sobre el sistema obliga al responsable del tratamiento a informar a los interesados acerca de la existencia, finalidad y funcionamiento del sistema, los receptores de las denuncias y el derecho de acceso, rectificación y supresión de las personas denunciadas con las limitaciones que, dada la naturaleza del sistema, correspondan.

Los responsables del tratamiento también deberán informar del hecho de que la identidad del denunciante se mantendrá confidencial a lo largo del proceso, y que el abuso del sistema podrá dar lugar a una acción contra el autor del abuso. Por otra parte, también podrá informarse a los usuarios del sistema de que no se enfrentarán a ninguna sanción si utilizan el mismo de buena fe.

4.5.3. Derechos de información y ARCO

La normativa de protección de datos hace hincapié en la protección de datos personales del interesado. En consecuencia, desde ese punto de vista, los sistemas de denuncia de irregularidades deberán centrarse en los derechos del interesado, sin perjuicio de los derechos del denunciante. Deberá establecerse un equilibrio de intereses entre los derechos de las partes afectadas, incluidas las necesidades legítimas de investigación de la empresa.

4.5.3.1 Derechos de información

El artículo 11 de la Directiva 95/46/CE establece que deberá informarse al interesado cuando los datos hayan sido recabados de un tercero y no del propio interesado.

Por tanto, la persona denunciada deberá ser informada por el responsable del sistema lo antes posible en cuanto se hayan registrado los datos referentes a ella. De conformidad con el artículo 14 de la Directiva, el interesado tendrá derecho a oponerse al tratamiento de sus datos si la legitimidad del tratamiento se basa en la letra f) del artículo 7. Este derecho de objeción, sin embargo, sólo podrá ejercerse por razones legítimas apremiantes relativas a la situación particular de la persona.

En especial, el empleado denunciado deberá ser informado acerca de:

·        La entidad responsable del sistema de denuncia de irregularidades.

·        Los hechos de los que se le acusa.

·        Los departamentos o servicios que pueden recibir la denuncia dentro de su propia empresa o en otras entidades o empresas del grupo al que pertenezca la empresa.

·        Cómo ejercer sus derechos de acceso y rectificación.

Sin embargo, cuando exista un riesgo considerable de que tal notificación pueda comprometer la capacidad de la empresa para investigar efectivamente la alegación o para recabar las pruebas necesarias, la notificación al denunciado podrá retrasarse mientras exista este riesgo. Esta excepción a la regla establecida por el artículo 11 de la Directiva tiene como objeto conservar pruebas, evitando su destrucción o alteración por el denunciado. Debe aplicarse restrictivamente, según cada caso, y deberá tener en cuenta los intereses mayores en juego.

No obstante, el art. 5.4 LOPD dispone: “Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos (…)”.

4.5.3.2 Derechos ARCO (acceso, rectificación y oposición)

El artículo 12 de la Directiva 95/46/CE (art. 15 y 16 LOPD) confiere al interesado la posibilidad de acceder a los datos registrados a fin de comprobar su exactitud y rectificarlos si son inexactos o incompletos, o si están desfasados (derecho de acceso y rectificación). Por consiguiente, el establecimiento de un sistema de denuncia debe garantizar el respeto de los derechos de los individuos al acceso y rectificación de los datos incorrectos, incompletos o desfasados.

Sin embargo, el ejercicio de estos derechos podrá restringirse para garantizar la protección de los derechos y libertades de otras personas participantes en el sistema. Esta restricción deberá aplicarse caso por caso.

Bajo ninguna circunstancia la persona denunciada podrá obtener del sistema información sobre la identidad del denunciante en virtud del derecho de acceso del denunciado, excepto cuando el denunciante presente maliciosamente una declaración falsa. En los demás casos, la confidencialidad del denunciante deberá garantizarse siempre. Recordaré que el derecho de acceso queda limitado a los propios datos personales, por lo que la información que contenga datos de terceras personas, como sucede en este caso con los datos del denunciante, quedaría excluida del mencionado derecho.

Además, las personas interesadas tendrán derecho a rectificar o suprimir sus datos cuando el tratamiento de dichos datos no cumpla con las disposiciones de esta Directiva, en particular debido a la naturaleza incompleta o inexacta de los datos (artículo 12(b)).

4.5.4. Medidas de seguridad

4.5.4.1 Medidas de seguridad materiales

De conformidad con el artículo 17 de la Directiva 95/46/CE (art. 9 LOPD), la empresa u organización responsable de un sistema de denuncia de irregularidades aplicará las medidas técnicas y organizativas adecuadas para la protección de los datos cuando se recaben, se transmitan o se conserven. Su objetivo es proteger los datos contra la destrucción, accidental o ilícita, la pérdida accidental y la difusión o el acceso no autorizados.

Las denuncias podrán ser recogidas por cualquier medio de tratamiento de datos, electrónico o no. Estos medios deberán estar especializados para el sistema de denuncia de irregularidades, a fin de impedir cualquier desvío de su propósito original, y en aras de una mayor confidencialidad de los datos.

Según el GT29, las medidas de seguridad deberán ser proporcionadas a los fines de investigar las cuestiones que se planteen, de conformidad con las normas de seguridad de los distintos Estados miembros.

Debe recordarse que en España la Ley Orgánica 15/1999 tiene por objeto la protección de un derecho fundamental: el derecho a la protección de datos de carácter personal, considerado como tal por la jurisprudencia de nuestro Tribunal Constitucional, entre otras, en su Sentencia 292/2000, de 30 de noviembre. También protege el derecho al honor, la intimidad y la propia imagen. Por este motivo, la aplicación de dicha normativa deberá ser objeto de interpretación restrictiva, debiendo prevalecer la interpretación proclive a la protección de los derechos fundamentales, conforme establece reiterada jurisprudencia del Tribunal Constitucional. Dado que no será nunca posible conocer a priori el contenido real del fichero que se generará por medio del sistema y dado que los datos derivados de las investigaciones y averiguaciones llevados a cabo puede implicar la inclusión en el sistema de datos especialmente protegidos, la AEPD concluye que será necesaria la implantación de medidas de seguridad de nivel alto, según el TÍTULO VIII del RD 1720/2007.

Debo recordar que en el vigente RGPD/UE, aunque en período de “vacatio legis”, no se clasifica la Información Identificativa Personal (PII) en niveles como sucede con el actual RD 1720/2007, ya que se basará en el riesgo.

A título de ilustración citaré la conclusión al respecto de un artículo publicado en el blog del Instituto Nacional de Ciberseguridad de España (Incibe_) [13]: “Será esencial aplicar las medidas de seguridad que correspondan, conforme al art. 9 LOPD y los artículos 81 y siguientes del Real Decreto 1720/2007. En este sentido, y atendiendo a lo dispuesto por la contestación de la AEPD, será necesario aplicar al fichero el nivel de seguridad que corresponda según los datos que contenga. No obstante, dado que es imposible predecir con certeza el contenido del fichero, por el descrédito que puede suponer para el trabajador denunciado y las consecuencias que puede llegar a tener que se conociera la persona denunciante, hacen recomendable la implantación de medidas de seguridad de, al menos, el nivel medio”.

4.5.4.2 Confidencialidad de las denuncias

La confidencialidad de las denuncias es un requisito esencial para el cumplimiento de la obligación prevista por la Directiva 95/46/CE de seguridad del tratamiento.

Con el fin de cumplir el objetivo para el cual se ha establecido un sistema de denuncia de irregularidades y animar a las personas a utilizar el sistema y denunciar hechos que supongan conducta irregular o actividades ilegales de la empresa, es esencial que la persona que denuncie goce de una protección adecuada, garantizando la confidencialidad de la denuncia e impidiendo que terceras partes conozcan su identidad.

Las empresas que establezcan sistemas de denuncia de irregularidades deberán adoptar medidas adecuadas para garantizar que la identidad de los denunciantes sea confidencial y no se revele al denunciado a lo largo de la investigación.

Sin embargo, si una denuncia resulta no tener fundamento y el denunciante ha realizado maliciosamente una declaración falsa, el denunciado podrá querer demandarlo por difamación, en cuyo caso la identidad del denunciante deberá comunicarse al denunciado si la legislación nacional lo permite.

Las normas y principios nacionales sobre denuncia de irregularidades en el ámbito de la gobernanza empresarial también prevén que el denunciante deberá quedar protegido frente a medidas de represalia por utilizar el sistema, como medidas disciplinarias o discriminatorias adoptadas por la empresa u organización.

La confidencialidad de los datos personales deberá garantizarse en la recogida, revelación o conservación de los mismos.

4.5.4.3 Denuncias anónimas versus identificadas

En este apartado cabría considerar si deben admitirse denuncias anónimas, o por el contrario, todas deben identificarse con el denunciante, aunque en estrictas condiciones de confidencialidad.

El anonimato puede no ser una buena solución, tanto para el denunciante como para la organización, por varias razones:

·        El hecho de presentar una denuncia anónima no impide que los demás acierten al conjeturar quién presentó la denuncia.

·        Es más difícil investigar la denuncia si no se pueden hacer preguntas de seguimiento.

·        Es más fácil organizar la protección del denunciante contra las represalias, especialmente si tal protección está prevista por la ley, en el caso de que las denuncias se planteen abiertamente.

·        Las denuncias anónimas pueden llevar a la gente a centrarse en el denunciante, quizá sospechando que la denuncia se ha planteado maliciosamente.

·        Una organización corre el riesgo de desarrollar una cultura de recibir denuncias anónimas maliciosas.

·        El ambiente de la organización puede deteriorarse si los empleados piensan que a través del sistema se pueden presentar denuncias anónimas sobre ellos en cualquier momento.

La tramitación de denuncias anónimas debe ser objeto de especial precaución. Tal precaución requeriría, por ejemplo:

  • El examen de la denuncia por parte del primer receptor de la misma por lo que se refiere a su admisión y a la conveniencia de que circule en el marco del sistema.
  • Considerar si las denuncias anónimas deben investigarse y tramitarse con mayor velocidad que las denuncias confidenciales, debido al riesgo de mal uso.

Esta precaución especial no significa, sin embargo, que las denuncias anónimas no deban investigarse sin tener debidamente en cuenta todos los hechos del caso, como si la denuncia se hubiera realizado abiertamente. 

En cuanto a las normas sobre protección de datos, las denuncias anónimas plantean un problema específico por lo que respecta al requisito básico de que los datos personales deben recogerse limpiamente. Por regla general, el Grupo de Trabajo considera que, para satisfacer este requisito, sólo las denuncias identificadas deben comunicarse a través del sistema de denuncia de irregularidades.

Sin embargo, el GT29 es consciente de que algunos denunciantes pueden no siempre estar en una posición o tener la disposición psicológica para presentar denuncias identificadas. También es consciente del hecho de que las denuncias anónimas son una realidad en las empresas, incluso y especialmente en ausencia de sistemas de denuncia de irregularidades confidenciales organizados, y que esta realidad no puede obviarse. El Grupo de Trabajo considera por tanto que la existencia de sistemas de denuncia de irregularidades puede dar lugar a que se presenten denuncias anónimas a través del mismo, y se tengan en cuenta, pero como excepción a la regla y con las condiciones que se exponen a continuación.

El GT29 considera que los sistemas de denuncia de irregularidades deben establecerse de tal manera que no fomenten la denuncia anónima como la forma habitual de presentar una denuncia. En especial, las empresas no deberían difundir el hecho de que pueden presentarse denuncias anónimas a través del sistema. Por el contrario, dado que los sistemas de denuncia de irregularidades deben garantizar la confidencialidad de la identidad del denunciante, los individuos que pretendan denunciar en el marco de un sistema de denuncia de irregularidades deberán saber que no sufrirán perjuicios debido a su acción. Por esta razón, los sistemas de denuncia de irregularidades deberán comunicar al denunciante, en el momento de establecerse el primer contacto, que su identidad se mantendrá confidencial en todas las etapas del proceso, y en especial no se revelará a terceros, a la persona incriminada o a los superiores jerárquicos del empleado. Si, a pesar de esta información, el denunciante desea mantener el anonimato, la denuncia se aceptará.

No obstante, las Autoridades de Control españolas (AEPD) parecen interpretarlo de forma más restrictiva que el grupo consultivo europeo en su Informe Jurídico 128/2007 indica: “Por ello, a fin de garantizar el cumplimiento del mencionado principio [derecho de acceso] deberá exigirse que el sistema únicamente acepte la inclusión de denuncias en que aparezca identificado el denunciante, sin perjuicio de las salvaguardias que se han señalado para garantizar la confidencialidad de sus datos de carácter personal, no bastando el establecimiento de un primer filtro de confidencialidad y una posible alegación última del anonimato para el funcionamiento del sistema”.

Es preciso señalar que aunque dichos informes de la AEPD no tienen un carácter vinculante, dicha opinión contiene una argumentación jurídica (vid. STJUE de 24 noviembre 2011, C-468/10 y 469/10) que debería ser tenida en cuenta para el establecimiento delos canales de whistleblowing.

No obstante, en la 7ª sesión anual abierta de la AEPD se planteó la consulta respecto a si la Agencia había cambiado el criterio en relación con el tratamiento de los datos en el marco de un canal de denuncias (Informe Jurídico 128/2007), tras la publicación de Ley Orgánica 1/2015 de 30 de marzo por la que se modifica el Código penal. En particular, la consulta planteaba si estaría legitimado el tratamiento de los datos de clientes y proveedores en el marco de la prevención de delitos. La Agencia en este sentido dio respuesta a la pregunta señalando que:

“(… )La reforma de la legislación penal podría ayudar a justificar el interés legítimo prevalente, pero no bastaría por si sola para fundar el tratamiento. En particular la Agencia ha considerado necesario que las denuncias tengan carácter confidencial y no anónimo, si bien cabría la contratación de un encargado del tratamiento que conservase los datos identificativos de los denunciantes sin comunicarlos en ningún caso a la empresa.”

De este nuevo pronunciamiento se deduce que la Agencia deja entrever la legitimación a través de externalizar el canal de delación en un tercero que actuaría como encargado del tratamiento que disociaría los datos a ser comunicados a la empresa, conservando los datos identificativos del delator. También podría recabar más información de considerarse necesario. Si además ese tercero externo es un despacho de abogados sujeto a deber de secreto, se dota de una estructura robusta a los canales de delación al ser respetuosos con el nuevo criterio de la AEPD y tener fuerza probatoria en la jurisdicción penal.

Todo esto viene a cuento de que las denuncias puramente anónimas tampoco son siempre admisibles en el ámbito del Derecho Penal, [9] con lo que podría llegar a reducirse el efecto de atenuación o exclusión de culpabilidad de las personas jurídicas, en la medida en que estos sistemas pretendan hacerse valer, llegado el caso, en un procedimiento penal en el que se viera involucrada la empresa.

Matizando un poco y con la aportación de algún compañero penalista, es cierto que en el ámbito de Derecho Penal se exige la identificación del denunciante pero se admiten y podrían formularse denuncias anónimas con ciertas cautelas. De hecho en la instrucción núm. 3/1993 de 16 de marzo, [12] la FGE lo admitió, si bien recomienda prudencia por parte de la fiscalía ante una denuncia anónima.

Adicionalmente, la STS de 11 de abril de 2013, que entiende que aunque la Ley de Enjuiciamiento Criminal exige como requisito la identificación de los denunciantes (art. 266 y art. 267), considera que la denuncia anónima es legal (se deduce del artículo 308). Considera en definitiva que es legal, si bien es necesario que se actúe con máxima prudencia y seriedad: “(…)consideramos –en línea con la que entendemos doctrina científica mayoritaria– que la cualidad de anónima de una denuncia no impide automática y radicalmente la investigación de los hechos de que en ella se da cuenta, por más que la denuncia anónima (técnicamente «delación», sinónimo de «acusar», que puede definirse como «el hecho de revelar a la autoridad judicial, o demás autoridades y funcionarios competentes la perpetración de un delito, designando al autor o culpable, pero sin identificarse el denunciador, cuya identidad se esconde en el anonimato») deba ser contemplada con recelo y desconfianza. Sin embargo, al no proscribirla expresamente la Ley de Enjuiciamiento Criminal, no puede decretarse a limine su rechazo por principio…. En tales casos, el Juez debe actuar con gran prudencia, y no puede ni debe actuar con ligereza en la admisión o en el rechazo de la denuncia anónima. Pero si ésta aparenta credibilidad y verosimilitud, debe inicialmente inquirir, con todos los medios a su alcance, en la comprobación, prima facie, de la exactitud de su contenido, y si ello fuera afirmativo, puede proceder desde luego por sí mismo, de oficio, si el delito fuere público, sin necesidad de la intervención del denunciante y sin ningún otro requisito”.

Por otro lado, no hay que olvidar que existen leyes de otros países con posible aplicación extraterritorial como la FCPA o la SOX de EE.UU., que exigen que en los sistemas de denuncia se establezcan específicamente canales de denuncias anónimos.

También es necesario hacer que los denunciantes sean conscientes de que puede ser necesario revelar su identidad a las personas implicadas en las investigaciones o en los procedimientos judiciales posteriores iniciados a resultas de la investigación realizada por el sistema de denuncia de irregularidades.

4.5.5. Registro de ficheros

En España existe, mientras dure el período de  “vacatio legis” [hasta mayo de 2018] respecto al Reglamento General de Protección de Datos de la UE, la obligación de notificación e inscripción registral en el Registro General de Protección de Datos (RGPD) que gestiona la AEPD, según dispone el art. 26 LOPD: “1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará personalmente a la Agencia de Protección de Datos”.

Deberán registrarse los ficheros que contengan los datos procedentes de los canales de denuncias, con especial consideración a declararlos al menos de nivel medio [o mejor alto], según la probable sensibilidad de los datos tratados por el sistema.



5. GESTIÓN DE LOS SISTEMAS DE DENUNCIAS

5.1. Organización interna

Según el GT29, deberá crearse un departamento específico en el seno de la empresa o grupo, dedicado a  la gestión de las denuncias y a la organización de la investigación. Personalmente creo que podría adscribirse al área de “Compliance”.

Este departamento deberá estar compuesto por personas con formación específica, en número limitado y con un vínculo contractual por lo que respecta a las obligaciones específicas de confidencialidad que deben asumir.

El sistema de denuncia de irregularidades deberá estar estrictamente separado de otros departamentos de la empresa, como el departamento de recursos humanos.

Este departamento garantizará, en la medida de lo necesario, que la información recogida y tratada se transmita exclusivamente a las personas que sean específicamente responsables, dentro de la empresa o grupo al que pertenezca la empresa, de la investigación o de la adopción de las medidas necesarias para realizar el seguimiento de los hechos denunciados.

Las personas que reciban esta información se asegurarán de que la información recibida se maneje confidencialmente y esté sujeta a medidas de seguridad.

5.2. Externalización del sistema de denuncias

5.2.1 Prevenciones de protección de datos

En los casos en que el sistema de denuncia de irregularidades esté gestionado por un proveedor de servicios externo, el responsable del tratamiento deberá estar vinculado por un contrato, y deberá tomar todas las medidas adecuadas para garantizar la seguridad de la información tratada en todo el proceso.

Debe prestarse especial atención, especialmente en modelos de entrega de servicios basados en Cloud Computing, por están sujetos a Transferencias Internacionales de Datos (TID), contempladas en el título V de la LOPD.

En estos casos mi consejo es mantener una actitud de previsión ex ante de la externalización (responsabilidad in eligendo) y ex post (responsabilidad in vigilando).

5.2.2 Ventajas de externalizar el canal de delación

Vistos los planteamientos diversos entre la AEPD, el GT29, la práctica de prueba en Derecho Penal, etc., vamos a estudiar las ventajas de externalizar el canal de delación.

·        Por una parte el delator puede actuar de forma identificada ya que se informa y se aportan las debidas garantías para que su denuncia o aporte de información esté amparada por el deber de secreto del abogado, si es éste el que gestiona el canal. De esta manera no se incumplen los informes jurídicos de la AEPD ni se penaliza la acción probatoria como podría ocurrir en Derecho Penal.

·        El gestor del canal de denuncias garantiza contractualmente que anonimizará la información que transfiera a la empresa, tras filtrarla y recabar cuanta información adicional considere necesaria, preservando así el anonimato del delator y facilitando una posible investigación posterior.

·        Además, si el sistema es capaz de mantener un registro de las diferentes aportaciones y transacciones respecto al desarrollo y seguimiento de la delación, se considera una prueba más de la debida diligencia de la empresa en tratar los indicios de delito, demostrando compromiso y eficacia del modelo de prevención en favor de la exención de responsabilidad de la persona jurídica.

·        El gestor del canal de delación actúa como intermediario entre los delatores y el Compliance Officer y/o la Administración de la sociedad.

·        El hecho de que el servidor que contiene la base de datos esté fuera del control de la empresa, sus técnicos o su red, da confianza de confidencialidad al delator.

·        Puede establecerse una distribución periódica de reportes confidenciales de actividad, para que la persona jurídica que contrata el canal de delación como servicio (CDaaS) pueda efectuar un seguimiento del mismo.

6. LA NORMA ISO 19600:2014 Y LOS CANALES DE DELACIÓN

La norma ISO 19600:2014, “Sistemas de gestión de Compliance - Directrices”, como no podía ser de otra manera, también considera el canal de delación como una herramienta de comunicación fundamental, sin menoscabo de otras fuentes de opinión.

Concretamente, en la cláusula 9.1.3Fuentes de opinión sobre el desempeño de Compliance” dispone:

“La organización debería establecer, implantar, evaluar y mantener procedimientos para buscar y recibir opiniones de su desempeño de Compliance de una serie de fuentes, incluyendo:

- empleados, por ejemplo, a través de canales de denuncias, líneas de ayuda, buzones de opinión y de sugerencias;
- clientes, por ejemplo, a través de un sistema de control de reclamaciones;
- proveedores;
- reguladores;
- registros de control de procesos y registros de actividad (incluyendo tanto electrónicos como en papel).

Las opiniones deberían servir como una fuente clave de mejora continua del sistema de gestión de Compliance.”

En la cláusula 10.1.2 “Escalado de información”, se dispone:

“(…) Un sistema de gestión de Compliance eficaz debería incluir un mecanismo para que los empleados de la organización y/u otras personas informen sobre malas prácticas reales o sospechosas, o sobre violaciones de las obligaciones de Compliance de la organización, de forma confidencial y sin temor a represalias”.


7. BIBLIOGRAFÍA CONSULTADA

- [1] Dr. Javier Gómez Garrido. “DERECHO AL HONOR Y PERSONA JURÍDICO-PRIVADA”, REDUR 8, págs. 205-225, diciembre 2010.

- [2] Dra. Cristina Rodriguez Yagüe. “LA PROTECCIÓN DE LOS DELATORES POR EL ORDENAMIENTO ESPAÑOL: ASPECTOS SUSTANTIVOS Y MATERIALES”, Universidad de Castilla La Mancha, Instituto Derecho Penal Europeo e Internacional, Págs. 12-26, Cuenca, 2006. [Texto empleado como hilo conductor del artículo].

- [3] Terradillos Basoco. “DERECHO PENAL DE LA EMPRESA”, Página 170, Trotta, Madrid, 1995.

- [4] M. M. Carrasco Andrino. “LA PROTECCIÓN PENAL DEL SECRETO DE EMPRESA”, págs. 278, 280 y ss., Barcelona. 1998.

- [5] M. Bajo y S. Bacigalupo. “DERECHO PENAL ECONÓMICO”, pág. 485, Ed. Centro de Estudios Ramón Areces, Madrid, 2001.

- [6] M.C. Palomeque López y M. Álvarez de la Rosa. “DERECHO DEL TRABAJO”, pág. 804, Centro de estudios Ramón Areces. Madrid. 2000.

- [7] GT29. “Dictamen 1/2006 relativo a la aplicación de las normas sobre protección de datos de la UE a los sistemas internos de denuncia de irregularidades en los ámbitos de la contabilidad, controles de auditoría internos, cuestiones de auditoría, lucha contra la corrupción y delitos financieros y bancarios”, adoptado el 1de febrero de 2006, WP117.
Dictamen 1/2006 GT29

- [8] AEPD. Informe Jurídico 128/2007. “Creación de sistemas de denuncias internas en las empresas (mecanismos de whistleblowing)”. Gabinete Jurídico.
Informe Jurídico 1268/2007 AEPD

- [9] TRANSPARENCY INTERNATIONAL ESPAÑA. “PRINCIPIOS DE TRANSPARENCIA Y PREVENCIÓN DE LA CORRUPCIÓN PARA LAS EMPRESAS”.  Documento.

- [10] AEPD. Informe Jurídico 0201/2010. “trata sobre el consentimiento de los trabajadores en entorno laboral”, Gabinete Jurídico.
Informe Jurídico 0201/2010 AEPD

- [11] Alonso Hurtado Bueno. “Sistemas de Denuncias Internas en las Organizaciones. El Whistleblowing”. Septiembre de 2008. Incibe_.




- [12] F.G.E. Instrucción 3/1993, de 16 de marzo. “La denuncia anónima: su virtualidad como notitia criminis”.
Instrucción 3/1993 FGE


8. CONTROL DE CAMBIOS DEL ARTÍCULO

Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.

Fecha
Cambio
Responsable
08/10/2014
Redacción inicial del artículo
Autor
19/09/2015
Se actualiza el artículo con referencias al canal de delación en los estándares internacionales. Concretamente se añade el capítulo 6. “LA NORMA ISO 19600:2014 Y LOS CANALES DE DENUNCIA”.

También se actualiza el artículo tras la entrada en vigor de la LO 1/2015, de 30 de marzo, por la que se modifica la LO 10/1995, de 23 de noviembre, del Código Penal. Concretamente los apartados 1. “ÉTICA, RESPONSABILIDAD PENAL Y COMPLIANCEy 2.1 “Introducción”.

Autor
20/09/2015
A raíz de una aportación, que agradezco, del fiscal de delitos económicos Juan Antonio Frago Amada en un debate del grupo de LinkedIn “Business Criminal Law & Compliance / Derecho Penal Económico &Compliance” relacionado con este mismo artículo, se ha reescrito el apartado 3.1.1. “Obligación de denunciar determinados delitos”.

Autor
12/07/2016

Se incorporan al apartado 4.5 “Evolución de la compatibilidad con la normativa de protección de datos, las aportaciones del compañero Salva Silvestre respecto a la procedencia de las denuncias anónimas en la jurisdicción penal.
Se ha ampliado el apartado 5.2 “Externalización del sistema de denuncias”.

También se incorporan las referencias bibliográficas [11] y [12].
Autor









9. DERECHOS DE AUTOR



Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación es este blog.




La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.

Sobre el autor:



José Luis Colom Planas
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.

A nivel de especialización técnica, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).
Desempeña su labor profesional en la entidad de certificación AUDERTIS como Director de Auditoría y Cumplimiento Normativo. También colabora con la entidad certificadora British Standards Institution (BSI) como auditor jefe de certificación e impartiendo formación para la obtención de la acreditación como lead auditor, en diferentes marcos normativos, incluidas las especificaciones del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado. Anteriormente ha ostentado la posición de Director de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.



No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.