Conócenos

COMPLIANCE

Whistleblowing o canales de denuncia interna

Por Darío López Rincón

  • Imprimir

Darío López Rincón

A día de hoy, los anglicismos son parte inseparable del uso cotidiano del habla, hasta tal punto que en determinados conceptos nos viene antes a la mente la versión anglosajona que la de nuestra lengua materna. Uno de los que más se escuchan a día de hoy es el Whistleblowing, sobre todo desde la óptica de la responsabilidad penal de la persona jurídica, ámbito laboral o financiero/competencia, en definitiva, compliance o cumplimiento normativo.

¿Qué es el Whistleblowing?

Este fenómeno surgido en Estados Unidos en los años 60 y afianzado de manera efectiva con la Whistleblowers protection Act (Ley de protección de denunciantes), y la más conocida, Sarbanes – Oxley Act de 2002, no se trataría más que del mero acto de denunciar, aunque como definición más funcional y adecuada al hecho que se refiere, podemos utilizar: Canales de denuncia interna de las empresas por comportamientos, acciones o hechos que puedan constituir violaciones de normas internas, códigos éticos o legislación vigente.

La gran importancia de esta figura, como adelantábamos en la introducción, es su encaje como eximente de responsabilidad penal de la persona jurídica (empresa), de conformidad a lo establecido en el artículo 31 bis del Código penal, siempre que haya adoptado, con carácter previo a la comisión del hecho, modelos de organización y gestión que prevean medidas de vigilancia y control con el objetivo de reducir el riesgo o evitar la comisión de hechos delictivos. 

¿Cuál es su regulación?

A diferencia de Estados Unidos, en Europa no se encuentra regulado de una manera expresa, permitiéndose que las empresas creen estos canales y protocolos de comunicación de denuncias internas, pero quedando reducido a una serie de recomendaciones realizadas por las autoridades de control de protección de datos, así como a cierta normativa que se hace eco de esta posibilidad:

A nivel internacional:

A nivel comunitario:

  • Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. 
  • Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014 relativa a los mercados de instrumentos financieros (Directiva MiFID II). 
  • Reglamento (UE) 600/2014 del Parlamento Europeo y del Consejo de 15 de mayo de 2014 relativo a los mercados de instrumentos financieros. 

A nivel nacional:

  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. 

Resoluciones y dictámenes:

  • Informe jurídico de la Agencia Española de Protección de Datos (AEPD) nº 128/2007. 

¿Qué requisitos debe tener un sistema de este tipo?

De conformidad a lo establecido por al AEPD en su informe 128/2007 y por el grupo del artículo 29 en su Dictamen 1/2006, podemos destacar una serie de puntos:

  • Se recomienda la creación de sistemas de denuncia gestionado por la propia empresa, pero se permite su externalización centrada en la recopilación de los informes, siempre que se garantice la obligación de confidencialidad y respeto de la normativa sobre protección de datos. Dichas sociedades externas se computarán como encargados del tratamiento por cuenta de empresas, verdadero y único responsable del tratamiento. 
  • Se deberá crear una organización específica e independiente de cualquier departamento de la empresa o grupo de empresas, para tratar los informes de denuncia y dirigir la posterior investigación de los hechos alegados. Debe estar conformado por personal con formación concreta en la materia, dedicado en exclusiva a esta labor y sometido al deber de guardar secreto (confidencialidad). 
  • Todos los empleados podrán ser denunciantes o denunciados en el sistema. 
  • Deberá informarse a los empleados, con carácter previo a la creación del sistema de whistleblowing, de la finalidad, funcionamiento, confidencialidad del denunciante y garantía de información al denunciado. 
  •  El sistema se podrá organizar de manera telefónica o presencial (entendemos que en la actualidad la AEPD permite la realización a través de medios electrónicos de la parte que se permite subcontratar, relativa a la recopilación de informes de denuncia). 
  • Con carácter general, solo podrá acceder a los datos el designado como Compliance Counter (responsable de cumplimiento normativo) y todos aquellos que necesiten acceder con el objetivo de investigar los hechos alegados por el denunciante. 
  • Se deberán contener en el sistema los datos del denunciante y del denunciado. 
  • Se informará al denunciado en el plazo más breve posible de los hechos denunciados, los destinatarios de la información, el departamento responsable del sistema y sus derechos en materia de protección de datos. No se informará de la identificación del denunciante a menos que hubiera obrado con mala fe. 
  • Los datos serán cancelados en un plazo máximo de dos meses tras el fin de las investigaciones si los hechos no hubieran sido probados. En caso de entablarse acciones, los datos se conservarán en tanto sea necesario para el ejercicio por la compañía de sus derechos en juicio. 
  • Se deberán implantar medidas de seguridad de nivel básico. 

¿Se permite la presentación anónima?

De los citados informe de la AEPD y Dictamen del grupo del artículo 29, se puede extraer una postura contrapuesta acerca de la anonimización:

  • La AEPD, estima que jamás se deberá permitir la presentación de ninguna denuncia anónima, al entender que la confidencialidad de la identidad del denunciante supone una garantía suficiente. 
  • El Grupo del artículo 29 entiende que el sistema de denuncia deberá conformarse de manera que no permita la presentación anónima de manera general, pero sí como medida de última ratio en los casos en que el propio denunciante, una vez haya sido informado de que su identidad no será relevada, no sufrirá represalias y que su información no será comunicada ni al propio denunciado ni a terceros, siga solicitando el realizarlo sin dejar constancia alguna de su identidad. 

En la actualidad nacional, parece que la balanza sobre el anonimato en este tipo de denuncias se empieza a decantar por la postura más permisiva del grupo del artículo 29. A este respecto, cabe destacar la Sentencia de la Sala de lo Social del Tribunal Superior de Justicia de Canarias nº 2117/2016, de 22 de junio, en dos ideas fundamentales extraídas de su fundamento jurídico 2º:

  • El incumplimiento de las recomendaciones u orientaciones emitidas por la AEPD sobre esta materia, no supone una vulneración del derecho fundamental a la protección de datos del denunciando, en el trascurso del propio tratamiento de esos datos.
  • El anonimato no puede impedir que la empresa constituye un sistema interno con el objetivo de recabar el hecho contrario a la norma, investigarlos, y en su caso sancionar la trabajador infractor. 

Conclusiones

  • La creación de canales de denuncias internas (Whistleblowing) es una pieza clave en la implantación de un modelo efectivo de cumplimiento normativo (Compliance) con el que evitar a comisión de delitos o ulteriores responsabilidades. 
  • El canal o programa de denuncia interna debe configurarse de manera que exija la identificación del denunciado como regla ordinaria. 
  • A pesar de la postura de nulo anonimato mantenida por la AEPD en la actualidad, es previsible que, a tenor de la jurisprudencia y de la opinión del grupo del artículo 29 como órgano conformado por todas las autoridades de control en materia de protección de datos, sea modificada en sentido de permitirlo como excepción. 

Bibliografía

Materiales y fuentes oficiales

Informe jurídico nº28/2007 de la AEPD - https://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/otras_cuestiones/common/pdfs/2007-0128_Creaci-oo-n-de-sistemas-de-denuncias-internas-en-las-empresas-mecanismos-de-whistleblowing.pdf

Dictamen 1/2006 del grupo del artículo 29 – http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp117_es.pdf

Circular 1/2016 de la Fiscalía General del Estado, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por ley orgánica – https://www.fiscal.es/fiscal/PA_WebApp_SGNTJ_NFIS/descarga/CIRCULAR%201-2016%20-%20PERSONAS%20JUR%C3%8DDICAS.pdf?idFile=cc42d8fd-09e1-4f5b-b38a-447f4f63a041 

Sentencia de la Sala de lo Social del Tribunal Superior de Justicia de Canarias nº 2117/2016, de 22 de junio 

Legislación citada e indexada en el propio artículo

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Procedimientos de seguridad. Control de acceso

    Unos de los procesos a implementar en el despacho jurídico es el del control de acceso a los lugares del despacho donde se almacenan datos personales.

  • Procedimientos de seguridad

    Unos de los procesos a implementar en el despacho jurídico es el de la identificación y autenticación de usuarios en aquellos sistemas de información desde los que se gestionen datos personales.

  • Medidas de seguridad para ficheros no automatizados

    Antes de entrar de lleno a definir procesos de seguridad conviene que se haya planteado adecuadamente los ficheros de datos que deberá registrar y su tipología.

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1
feedburner

Reciba LAW & TIC de forma gratuita.

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17