AD 61/2022
LA ODISEA DE LOS CANALES DE DENUNCIA INTERNA
RESUMEN
En este artículo se pretende exponer una serie de interrogantes respecto al Anteproyecto de Ley de los denominados canales de denuncia, fruto de la ya tardía trasposición de la Directiva de protección del informante, la cual motivará cambios significativos en los modelos de compliance de las compañías y, especialmente, para aquellas que no la dispongan importantes ajustes. Así mismo, el intento de regular dichos canales en materia de protección de datos, la designación de Delegados de Protección de Datos, la salvaguarda de confidencialidad, la salvaguarda de la confidencialidad y otros aspectos nada claros, hace que esta normativa sea de vital transcendencia, dado que supone un aumento de obligaciones, así como de diligencias.
SUMMARY
The aim of this article is to raise a series of questions regarding the Draft Bill on the so-called whistleblowing channels, the result of the already late transposition of the Whistleblower Protection Directive, which will lead to significant changes in the compliance models of companies and, especially, for those that do not have it, to important adjustments. Likewise, the attempt to regulate these data protection channels, the appointment of Data Protection Officers, the safeguarding of confidentiality, the safeguarding of confidentiality and other unclear aspects, makes this regulation of vital importance, given that it implies an increase in obligations, as well as an increase in the number of proceedings.
PALABRAS CLAVE
Canal de denuncia – Compliance – Delegado de Protección de Datos – DPO – GDPR – Privacidad – Confidencialidad – Diligencia – Riesgo – Licitud – Legitimación – Anominato
KEY WORDS
Whistleblowing channel – Compliance – Data Protection Officer – DPO – GDPR – Privacy – Confidentiality – Diligence – Risk – Legitimacy – Anonymity – Anonymity – Legitimacy – Anonymity – Data Protection Officer – Compliance – Data protection – DPO – GDPR
España, una vez más, llega tarde a la transposición de una Directiva europea y, en este caso, no es una transposición baladí, sino una transposición que afecta a los denominados modelos de compliance (responsabilidad penal de las personas jurídicas) y a las líneas de defensa y, especialmente, como control preventivo o detectivo a los riesgos. Me estoy refiriendo a la DIRECTIVA (UE) 2019/1937 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Así mismo, como saben se ha publicado el Anteproyecto de Ley para dicha transposición y, el mismo, bajo mi punto de vista, más que luces creo que provoca sombras alargadas, especialmente, en su configuración y en su concepción, considerando que no se ajusta a las exigencias establecidas en la propia Directiva, ya sea por defecto o por exceso.
El presente artículo es una mera reflexión sobre determinados aspectos que, bajo mi interpretación, no quedan del todo claro, provocando muchas incógnitas a la hora de proceder a su implantación, la cual según el Anteproyecto será de tres meses, salvo empresas de menos de 249 empleados o que ya dispongan de los denominados canales de denuncia cuyo período de adaptación será de 6 meses, aunque a las fechas que nos encontramos, difícil viso temporal marca el horizonte.
De partida, dicho Anteproyecto se carga el artículo 24 LOPDGDD, ya de por sí complejo, por la modificación que aparece en la disposición final cuarta del Anteproyecto, la cual contempla la licitud del tratamiento (presunción iuris tantum) únicamente para garantizar y proteger a los denominados informantes de presuntas infracciones normativas. Bajo mi apreciación esto supone una reducción de la licitud existente en el artículo 24 LOPDGDD, dado que la finalidad de la licitud únicamente versa para la finalidad establecida, la cual es expresa, consistente en proteger a la persona física identificable o no (denuncia anónima) para evitar posibles represalias que pudiere sufrir por efectuar la denuncia, eliminando otras finalidades afectas al canal y sistema de gestión de las misma. Por tanto, la primera reflexión sería que, si bien la Directiva y el Anteproyecto regulan la protección del informante, no es más cierto, que para obtener dicha protección se precisa, igualmente, efectuar tratamientos dirigidos a conocer posibles infracciones cometidas dentro del seno de una organización y, por tanto, a prevenirlos y, en su caso, a efectuar los trámites internos o externos necesarios para mitigarlos, desde investigación y agregación de información; posibles procedimientos sancionadores; resolución de acuerdos contractuales; o posibles responsabilidades en distintos órdenes jurisdiccionales. Si únicamente la presunción iuris tantum se basa en el informante y no en el sistema, entonces podemos encontrarnos con distintas bases de legitimación y con diferentes obligaciones al respecto, así como que para que exista protección debe acreditarse la represalia sufrida, ya sea ésta directa o indirecta.
El Anteproyecto considero que no engloba la finalidad perseguida por la Directiva, dado que ésta no solamente incluye la denuncia derivadas de posibles infracciones normativas en interés público sino, igualmente, a posibles infracciones que se encuadran en la forma de actuar, es decir, actuaciones afectas a la ética. De hecho, la Directiva expresamente establece en su Considerando (42) las prácticas abusivas como aquellos actos u omisiones que no parecen ilícitos desde el punto de vista formal, pero que desvirtúan el objeto o la finalidad de la ley para incorporar en su Considerando (59) la recomendación de efectuar formación en relación a la denuncia de infracciones en seminarios sobre ética e integridad.
Respecto a los sujetos obligados, no sólo las entidades con más de 50 trabajadores estarán obligadas a instaurar un canal de denuncias internas, sino todas aquellas empresas o autónomos que desarrollen una actividad incluida dentro de la Directiva y pueda suponer un riesgo de comisión de infracciones en interés público. Así mismo, podrán denunciar cualquier grupo de interés con las que se relacione la entidad, ya sea bajo contrato, agencia, convenio, voluntariado, etc.
Por otra parte, se ha verificado la tesis de la confidencialidad frente al anonimato respecto a la identidad del denunciante, si bien este pudiere acogerse al anonimato. Pero, en relación a la confidencialidad, la misma, igualmente es extrapolable a la información que pudiere ser base de la denuncia, puesto que, en virtud de la procedencia, así podrá ser exonerada de la posible responsabilidad contractual o afecta al posible deber de confidencialidad intrínseco a su puesto de trabajo o en virtud de la relación contractual, si bien dicha exención no operará, en ningún caso, si la información remitida o aportada tiene como origen un ilícito penal.
La confidencialidad de la identidad del informante deberá adecuarse al establecimiento de las personas autorizadas para poder conocer de la denuncia interpuesta a través del canal y, por tanto, será necesario un protocolo del sistema de denuncias internas en el cual se establezcan las personas responsables, en virtud de sus roles asignados, que puedan tener posibilidad de efectuar tratamientos con la información e identidad de la denuncia. Por así decirlo, sería como aplicar la definición de la ISO 27002 respecto a dicho término de confidencialidad, configurando esta la forma de garantizar que la información es accesible sólo para aquellos autorizados a tener acceso, siendo el eslabón más importante de la normativa. Por tanto, la protección de datos a la que hecho referencia en relación a la modificación del artículo 24 LOPDGDD debería ir más a proteger o salvaguardar la confidencialidad (medida o control) que, en aras a proteger en exclusiva los datos personales del informante, no sólo su identidad sino cualquier información aportada por el mismo, siendo el tratamiento de datos personales afecto a todo el sistema y no sólo al informante.
En relación a la aplicación de la normativa de protección de datos personales, muchos son los interrogantes, haciendo especial hincapié, con carácter previo, a un nuevo listado de actividades que estarían obligadas a designar a un Delegado de Protección de Datos, es decir, todas aquellas empresas que estén obligadas a disponer de un sistema interno de comunicaciones (artículo 34.1 Anteproyecto). Esto supone un mayor nivel de riesgo en materia de protección de datos, ya de por sí, permitiendo la posibilidad que dicho Delegado de Protección de Datos sea persona (autorizada) para poder tratar las denuncias internas.
La primera cuestión que se me plantea es que el Anteproyecto no dice nada que el sistema de comunicación interna de denuncias deberá pasar por el principio de responsabilidad, especialmente, la responsabilidad por diseño del artículo 25 y que considero que la propia Directiva sí lo expresa muy claramente y, por tanto, obligación previa antes de su puesta en funcionamiento. Por si fuere poco, considero que, dado el tipo de canal, la finalidad del mismo, la información que pudiere contener, es más que probable la posible realización de una EIPD.
La segunda cuestión es la difícil de concretar en la realidad y, especialmente, en diseñar el sistema de comunicaciones internas, dado que el artículo 32.3 y 4 del Anteproyecto viene a establecer una diferenciación dentro del sistema con lo que conllevaría per se unas obligaciones en materia de seguridad bastante considerables. Bajo mi punto de vista, esta complicación viene motivada por intentar diferenciar y, a su vez integrar, dos conceptos que, considero, la Directiva no establece. Por una parte, el Anteproyecto habla de canal y, por otra parte, de sistema o gestión del sistema de información. La Directiva solamente habla de canal y de procedimiento, no efectuando distinciones, todo lo contrario que el Anteproyecto y su posterior obligación de eliminación de la identidad en caso que, tras tres meses, no se haya dado curso a la denuncia o investigación. De igual forma, se habla de libro-registro de comunicaciones, que igualmente, no se sabe si forma parte del sistema de información o como obligación independiente que no se regiría por las obligaciones emanadas del artículo 32 y, consecuentemente, dicho libro-registro estaría exento de la eliminación. España creo que ha sido compleja en su redacción, al contrario que otros países de la UE como Portugal que ha seguido la línea de no diferenciar términos introduciendo todos ellos dentro del canal de denuncia.
Otra cuestión, aunque hay muchas más, pero no quiero alargarme, es un artículo del Anteproyecto que no sé si tiene mucho sentido. Me refiero a la posibilidad de compartición del sistema de gestión de información. El artículo 12 del anteproyecto dice que “Las personas jurídicas del sector privado que tengan entre 50 y 249 trabajadores y que así lo decidan, podrán compartir entre sí el sistema interno de información y los recursos destinados a la gestión y tramitación de las comunicaciones, tanto si la gestión del sistema se lleva a cabo por la propia entidad como si se ha externalizado, respetándose en todo caso las garantías previstas en esta ley.” De la lectura de dicho artículo, considero que está permitiendo que una empresa con un sistema interno de comunicación interna pueda permitir a otras empresas utilizar el mismo sistema, con lo que podría existir la figura de la corresponsabilidad y, la duda de cómo solventar los principios que rigen de forma individual a cada empresa, es decir, acuerdo del consejo de administración, establecimiento de roles, independencia, conflicto de intereses. No sé muy bien la verdad que es lo que tiene en mente el legislador.
Son muchos los interrogantes que se abren con el Anteproyecto de transposición de la Directiva, esperando que los mismos puedan ser subsanados con la entrada en vigor de la Ley definitiva, pero considero que dicha Ley traerá problemas de interpretación y aplicación, especialmente, en el diseño por parte de las empresas y en las nuevas obligaciones que emanarán de la misma.
Iciar López-Vidriero Tejedor
En Madrid a 30 de mayo de 2022

BREVE CURRICULAR
Iciar López-Vidriero Tejedor es abogada colegiada del ICAM. Lead Auditor 27001. Delegada de Protección de Datos. Miembro de la APEP y perteneciente a su claustro de profesores. Quartermaster en España de la EADPP – European Association of Data Protection Professionals. Auditora en Entornos Tecnológicos (AAULETEC). Con más de 17 años de experiencia en el sector, asesorando empresas a nivel nacional, europeo e internacional. Evaluadora y creadora de los contenidos del examen de certificación de Delegado de Protección de Datos de una de las entidades acreditadas para su certificación. Formadora en diferentes cursos para la obtención de la certificación de delegado de protección de datos según el esquema de la Agencia Española de Protección de Datos y en titulaciones universitarias relacionadas con la tecnología y el derecho, entre otras Universidad Carlos III y Universidad Internacional de Andalucía.
Redes sociales
Twitter: @ICIARLVT
Linkedin: Iciar López-Vidriero