COMPLIANCE

Whistleblowing o canales de denuncia interna

Tribuna
Dario-Lopez-Rincon_EDEIMA20160426_0006_1.jpg

A día de hoy, los anglicismos son parte inseparable del uso cotidiano del habla, hasta tal punto que en determinados conceptos nos viene antes a la mente la versión anglosajona que la de nuestra lengua materna. Uno de los que más se escuchan a día de hoy es el Whistleblowing, sobre todo desde la óptica de la responsabilidad penal de la persona jurídica, ámbito laboral o financiero/competencia, en definitiva, compliance o cumplimiento normativo.

¿Qué es el Whistleblowing?

Este fenómeno surgido en Estados Unidos en los años 60 y afianzado de manera efectiva con la Whistleblowers protection Act (Ley de protección de denunciantes), y la más conocida, Sarbanes – Oxley Act de 2002, no se trataría más que del mero acto de denunciar, aunque como definición más funcional y adecuada al hecho que se refiere, podemos utilizar: Canales de denuncia interna de las empresas por comportamientos, acciones o hechos que puedan constituir violaciones de normas internas, códigos éticos o legislación vigente.

La gran importancia de esta figura, como adelantábamos en la introducción, es su encaje como eximente de responsabilidad penal de la persona jurídica (empresa), de conformidad a lo establecido en el artículo 31 bis del Código penal, siempre que haya adoptado, con carácter previo a la comisión del hecho, modelos de organización y gestión que prevean medidas de vigilancia y control con el objetivo de reducir el riesgo o evitar la comisión de hechos delictivos. 

¿Cuál es su regulación?

A diferencia de Estados Unidos, en Europa no se encuentra regulado de una manera expresa, permitiéndose que las empresas creen estos canales y protocolos de comunicación de denuncias internas, pero quedando reducido a una serie de recomendaciones realizadas por las autoridades de control de protección de datos, así como a cierta normativa que se hace eco de esta posibilidad:

A nivel internacional:

A nivel comunitario:

  • Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. 
  • Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014 relativa a los mercados de instrumentos financieros (Directiva MiFID II).
  • Reglamento (UE) 600/2014 del Parlamento Europeo y del Consejo de 15 de mayo de 2014 relativo a los mercados de instrumentos financieros.

A nivel nacional:

  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Resoluciones y dictámenes:

  • Informe jurídico de la Agencia Española de Protección de Datos (AEPD) nº 128/2007.

¿Qué requisitos debe tener un sistema de este tipo?

De conformidad a lo establecido por al AEPD en su informe 128/2007 y por el grupo del artículo 29 en su Dictamen 1/2006, podemos destacar una serie de puntos:

  • Se recomienda la creación de sistemas de denuncia gestionado por la propia empresa, pero se permite su externalización centrada en la recopilación de los informes, siempre que se garantice la obligación de confidencialidad y respeto de la normativa sobre protección de datos. Dichas sociedades externas se computarán como encargados del tratamiento por cuenta de empresas, verdadero y único responsable del tratamiento.
  • Se deberá crear una organización específica e independiente de cualquier departamento de la empresa o grupo de empresas, para tratar los informes de denuncia y dirigir la posterior investigación de los hechos alegados. Debe estar conformado por personal con formación concreta en la materia, dedicado en exclusiva a esta labor y sometido al deber de guardar secreto (confidencialidad).
  • Todos los empleados podrán ser denunciantes o denunciados en el sistema.
  • Deberá informarse a los empleados, con carácter previo a la creación del sistema de whistleblowing, de la finalidad, funcionamiento, confidencialidad del denunciante y garantía de información al denunciado. 
  •  El sistema se podrá organizar de manera telefónica o presencial (entendemos que en la actualidad la AEPD permite la realización a través de medios electrónicos de la parte que se permite subcontratar, relativa a la recopilación de informes de denuncia).
  • Con carácter general, solo podrá acceder a los datos el designado como Compliance Counter (responsable de cumplimiento normativo) y todos aquellos que necesiten acceder con el objetivo de investigar los hechos alegados por el denunciante.
  • Se deberán contener en el sistema los datos del denunciante y del denunciado.
  • Se informará al denunciado en el plazo más breve posible de los hechos denunciados, los destinatarios de la información, el departamento responsable del sistema y sus derechos en materia de protección de datos. No se informará de la identificación del denunciante a menos que hubiera obrado con mala fe.
  • Los datos serán cancelados en un plazo máximo de dos meses tras el fin de las investigaciones si los hechos no hubieran sido probados. En caso de entablarse acciones, los datos se conservarán en tanto sea necesario para el ejercicio por la compañía de sus derechos en juicio.
  • Se deberán implantar medidas de seguridad de nivel básico.

¿Se permite la presentación anónima?

De los citados informe de la AEPD y Dictamen del grupo del artículo 29, se puede extraer una postura contrapuesta acerca de la anonimización:

  • La AEPD, estima que jamás se deberá permitir la presentación de ninguna denuncia anónima, al entender que la confidencialidad de la identidad del denunciante supone una garantía suficiente.
  • El Grupo del artículo 29 entiende que el sistema de denuncia deberá conformarse de manera que no permita la presentación anónima de manera general, pero sí como medida de última ratio en los casos en que el propio denunciante, una vez haya sido informado de que su identidad no será relevada, no sufrirá represalias y que su información no será comunicada ni al propio denunciado ni a terceros, siga solicitando el realizarlo sin dejar constancia alguna de su identidad.

En la actualidad nacional, parece que la balanza sobre el anonimato en este tipo de denuncias se empieza a decantar por la postura más permisiva del grupo del artículo 29. A este respecto, cabe destacar la Sentencia de la Sala de lo Social del Tribunal Superior de Justicia de Canarias nº 2117/2016, de 22 de junio, en dos ideas fundamentales extraídas de su fundamento jurídico 2º:

  • El incumplimiento de las recomendaciones u orientaciones emitidas por la AEPD sobre esta materia, no supone una vulneración del derecho fundamental a la protección de datos del denunciando, en el trascurso del propio tratamiento de esos datos.
  • El anonimato no puede impedir que la empresa constituye un sistema interno con el objetivo de recabar el hecho contrario a la norma, investigarlos, y en su caso sancionar la trabajador infractor. 

Conclusiones

  • La creación de canales de denuncias internas (Whistleblowing) es una pieza clave en la implantación de un modelo efectivo de cumplimiento normativo (Compliance) con el que evitar a comisión de delitos o ulteriores responsabilidades.
  • El canal o programa de denuncia interna debe configurarse de manera que exija la identificación del denunciado como regla ordinaria.
  • A pesar de la postura de nulo anonimato mantenida por la AEPD en la actualidad, es previsible que, a tenor de la jurisprudencia y de la opinión del grupo del artículo 29 como órgano conformado por todas las autoridades de control en materia de protección de datos, sea modificada en sentido de permitirlo como excepción. 

Bibliografía

Materiales y fuentes oficiales

Informe jurídico nº28/2007 de la AEPD - https://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/otras_cuestiones/common/pdfs/2007-0128_Creaci-oo-n-de-sistemas-de-denuncias-internas-en-las-empresas-mecanismos-de-whistleblowing.pdf

Dictamen 1/2006 del grupo del artículo 29 – http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp117_es.pdf

Circular 1/2016 de la Fiscalía General del Estado, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por ley orgánica – https://www.fiscal.es/fiscal/PA_WebApp_SGNTJ_NFIS/descarga/CIRCULAR%201-2016%20-%20PERSONAS%20JUR%C3%8DDICAS.pdf?idFile=cc42d8fd-09e1-4f5b-b38a-447f4f63a041 

Sentencia de la Sala de lo Social del Tribunal Superior de Justicia de Canarias nº 2117/2016, de 22 de junio 

Legislación citada e indexada en el propio artículo


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación