05 Jun
copia básica del contrato y registro retributivo

Whistleblowing (denuncias internas): ¿qué hay que tener en cuenta en materia de protección de datos?

Sistema de denuncias internas (whisteblowing): ¿qué deben tener en cuenta las empresas desde el punto de vista de la normativa de protección de datos a la hora de implantarlos?

Es una de las cuestiones aclaradas en la guía “‘Protección de datos y relaciones laborales’ , elaborada por la AEPD.

  • Los puntos que hay que contemplar

Los sistemas de whitleblowing s se suelen configurar mediante la creación de buzones internos a través de
los cuales las personas trabajadoras de la compañía, generalmente mediante un procedimiento online, ponen de manifiesto la comisión, en su seno o en la actuación de terceros que contraten con ella, de actos o conductas contrarios a la ley o al convenio colectivo (art. 24 de la LOPDGDD).

La Ley permite estos sistemas, aunque en todo caso deben respetarse los principios básicos de la protección de datos.

La base jurídica para el tratamiento de datos es el interés público (art. 6.1.e) del RGPD).

La información reviste en este caso un carácter primordial.

Tanto los denunciantes como los potenciales denunciados deberán haber sido informados previamente de la existencia de estos sistemas y del tratamiento de los datos que conlleva la formulación de una denuncia.

La información puede proporcionarse por varios cauces:

  •  Directamente en el contrato de trabajo.
  • Individual o colectivamente al implementar o modificar el sistema.
  • Mediante circulares informativas al personal y a su representación informando de la existencia y finalidad de un tratamiento de datos relacionado con estos buzones o sistemas de denuncias.

Cesión de datos

Si los datos contenidos en los sistemas de denuncias fueran a ser transmitidos a una tercera compañía que investigue el hecho denunciado se producirá una comunicación de datos, de la que el afectado, tanto el denunciante como el denunciado, deberá ser debidamente informado. Esta misma información deberá referirse, en su caso, a la posible transferencia internacional de datos a otras empresas del grupo.

Principio de proporcionalidad

La existencia de los buzones (sistema de denuncias) debe respetar el principio de proporcionalidad, de forma que
las denuncias se refieran únicamente a supuestos en que los hechos o actuaciones tengan una efectiva implicación en la relación entre la empresa y el denunciado, concretando así qué acciones deberán ser objeto de denuncia y especificando las normas a las que las denuncias podrán referirse, normas que podrían estar recogidas en códigos internos de conducta (códigos éticos).

Principio de limitación de la finalidad

Ha de respetarse el principio de limitación de la finalidad, por lo que no cabe utilizar la información obtenida por esta vía con fines distintos a los que motivaron la implementación del sistema.

Denuncias anónimas

La LOPDGDD admite sistemas de denuncias anónimas. En caso de que la denuncia no sea anónima, la confidencialidad de la información del denunciante debe quedar a salvo, no facilitándose su identificación al denunciado.

Precisamente, como consecuencia de lo anterior, será necesario adoptar medidas que proporcionen la adecuada seguridad y confidencialidad de la información, pudiendo implementarse medidas reforzadas de seguridad y extremando las cautelas que garanticen el cumplimiento del deber de secreto.

Quién puede acceder a los datos

El acceso a los datos debe limitarse exclusivamente a quienes desarrollen las funciones de control interno
y de cumplimiento, o al encargado del tratamiento, que eventualmente se designen a tal efecto.

Únicamente será lícito el acceso de otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso,
procedan.

El personal de recursos humanos sólo podrá acceder a dichos datos en caso de procedimientos disciplinarios contra una persona trabajadora, sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito
penal o administrativo.

Conservación de los datos

La conservación del dato debe limitarse al tiempo necesario para la investigación de los hechos y, sólo en caso de que de aquélla se desprenda la adopción de determinadas medidas contra el denunciado, sería posible conservar los datos por un plazo superior, debiendo eliminarse en caso contrario.

En todo caso, los datos deben suprimirse transcurridos tres meses desde su introducción en el sistema de denuncias sin que se aplique la obligación de bloqueo, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica.

Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada.

Derechos ARCO

Deberán garantizarse los derechos de acceso, rectificación, supresión y oposición del denunciado, sin que ello implique revelar la identidad del denunciante.

En todo caso, el denunciado debería poder conocer en el menor tiempo posible el hecho que se le imputa a fin de poder defender debidamente sus intereses.

En este sentido, debe facilitarse al denunciado esta información tras un tiempo prudencial en que se lleve a cabo la investigación preliminar de los hechos.

Por: Estela Martín

Linkedin TopVoices España 2020. DirCom & RSC en ...

Buscar
Categorías
Loading

Llámanos

x

Utilizamos cookies para mejorar tu experiencia. Si continúas, consideramos que aceptas el Uso de cookies