Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

Algunas consideraciones sobre «whistleblowing»: Protección de datos y «compliance» (I)

Algunas consideraciones sobre «whistleblowing»: Protección de datos y «compliance» (I)
Javier Puyol es abogado y socio de ECIXGroup.
22/6/2015 12:40
|
Actualizado: 13/8/2020 13:33
|

En esta noticia se habla de:

Un canal de denuncias en el seno de una empresa, constituye básicamente un mecanismo interno gestionado exclusivamente por el Departamento de Cumplimiento Normativo (“compliance”) o de Recursos Humanos, o incluso, el que así lo tenga asignado dentro del organigrama jerárquico o funcional de una empresa, a través del que se pueden detectar las irregularidades que puedan poner en riesgo a dicha organización, y a los empleados y demás personas que presten en ella sus servicios.

El «whistleblowing» permite a los empleados, proveedores y clientes-distribuidores de la empresa de manera confidencial, que no anónima, comunicar aquellas situaciones irregulares que puedan conocer.

Tal como pone de manifiesto Lesseps, el establecimiento de canales de denuncias internas en las empresas, también conocidos como sistemas dewhistleblowing”, constituye  una práctica que tiene su origen en los países anglosajones y que consiste en la creación de cauces dentro de las compañías por los que resulte posible denunciar internamente irregularidades e infracciones legales y normativas cometidas en el seno de la empresa o en su ámbito de actuación.

Los primeros aspectos de los sistemas de denuncias que fueron objeto de regulación consistieron, de un lado, en los incentivos a los denunciantes o “whistleblowers” y, de otro, en la protección de los mismos frente a posibles represalias. Un buen ejemplo de lo primero lo constituye una de las primeras normas que incidió sobre la materia, la False Claims Act de 1863 ‒también llamada Lincoln Law‒, que fue aprobada durante la Guerra de Secesión norteamericana para combatir el fraude en los suministros al ejército de la Unión.

Esta Ley, que sigue actualmente vigente tras diversas modificaciones, no sólo fomenta la denuncia de fraude contra el Gobierno Federal de los Estados Unidos, sino que regula un sistema de qui tam action, en virtud del cual el denunciante o “relator” ostenta legitimación para emprender una acción legal en defensa del Gobierno, con derecho a percibir un porcentaje del importe que se consiga recuperar.

En cuanto a la protección legal a los denunciantes, cabe hacer referencia tanto a la Lloyd-La Follette Act de 1912 como a la más reciente Whistleblower Protection Act de 1989, dos leyes estadounidenses promulgadas con el fin de blindar laboralmente a los funcionarios que informaran sobre irregularidades cometidas en el seno de la administración, así como a la Public Interest Disclosure Act de 1998 del Reino Unido, que tiene como finalidad la protección en el ámbito empresarial de los individuos que revelen información de interés público.

Mucha atención merece el examen del régimen jurídico en España del Canal de Denuncias, especialmente en lo atinente a su vinculación con la protección de datos de carácter personal.

En este sentido, es interesante traer a colación las consideraciones llevadas a cabo por Luis Posado, quien señala que la complejidad de la gestión de estos canales y el tratamiento de información sensible que se llevaba a cabo en los mismos, implicó la elaboración de un estudio jurídico por parte de la Agencia Española de Protección de Datos (AEPD), que tuvo como resultado la emisión del Informe Jurídico 128/2007. Entre las principales conclusiones que se alcanzaban en el mismo, puede destacarse que los canales de denuncia debían disponer de legitimación jurídica para el tratamiento de los datos.

De esta forma el Informe señalaba que:

“Debe señalarse que no existe en el ordenamiento jurídico español una previsión general similar a la impuesta a ‘Las empresas de servicios de inversión, las entidades de crédito y las personas o entidades que actúen en el Mercado de Valores, tanto recibiendo o ejecutando órdenes como asesorando sobre inversiones en valores” por el artículo 79.1 d) de la Ley del Mercado de Valores, consistente en “Disponer de los medios adecuados para realizar su actividad y tener establecidos los controles internos oportunos para garantizar una gestión prudente y prevenir los incumplimientos de los deberes y obligaciones que la normativa del Mercado de Valores les impone’, lo que hubiera permitido fundar el tratamiento en los artículos 6.1 y 11.2 a) de la Ley Orgánica 15/1999″.

Matizando, posteriormente, en este mismo Informe que:la Agencia consideró la posible aplicación en estos procedimientos de la legitimación conferida por el artículo 7 b) de la Directiva, que permite el tratamiento de los datos “necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado… dado que la Ley española no impone el deber jurídico de implantar estos procedimientos y que la regla del interés legítimo ha de venir referenciada al reconocimiento del mismo por una norma legal aplicable al caso”.

Por tanto, fundamentaba la legitimación jurídica en que es posible la creación de un canal de denuncia siempre que: “Existiese pleno conocimiento de la existencia de los mecanismos descritos por parte de las personas cuyos datos pudieran ser tratados por los mismos, quedando la existencia de dichos procedimientos incorporada a la relación contractual como parte integrante de la misma, el tratamiento de los datos pudiese considerarse necesario para el desarrollo y control adecuado de la relación contractual, lo que permitiría considerar el mismo amparado en la Ley Orgánica 15/1999”.

Adicionalmente recalcaba que los canales de denuncia no debían ser anónimos, intentando garantizar la fiabilidad de las denuncias: “Debería partirse del establecimiento de procedimientos que garanticen el tratamiento confidencial de las denuncias presentadas a través de los sistemas de “whistleblowing”, de forma que se evite la existencia de denuncias anónimas, garantizándose así la exactitud e integridad de la información contenida en dichos sistemas.”

Otro aspecto importante que se destacaba en el Informe, era su pronunciación respecto al plazo de conservación de la información obrante en los sistemas: “En relación con este punto, el documento del Grupo de Trabajo señala que “Los datos personales tratados por un programa de denuncia de irregularidades deberían eliminarse, inmediatamente y normalmente en un plazo de dos meses desde la finalización de la investigación de los hechos alegados en el informe”.

En este sentido, sería imprescindible que se establezca un plazo máximo para la conservación de los datos relacionados con las denuncias, a fin de evitar el mantenimiento de los mismos por un período superior que perjudique los derechos del denunciado y del propio denunciante, cuya confidencialidad debe quedar garantizada.”

Posado concluye señalando que, como pueden evidenciarse, del pronunciamiento de la Agencia, ésta no acaba de manifestarse de forma clara respecto a la legitimación del tratamiento de los canales de denuncia. Recordemos que estos mecanismos resultan fundamentales en los programas de “compliance”, a fin de garantizar y proteger la responsabilidad jurídica que dimana de las actuaciones de las compañías.

No obstante ello, debe ponerse de manifiesto que todas las personas que se encuentren afectadas en el seno de una empresa por un código de conducta tienen la obligación de velar por su cumplimiento, así como la obligación de denunciar a través del correspondiente canal de denuncias interno, cualquier acto o hecho que se considere que vulnera lo establecido en el mismo, contrario a la legislación vigente, o incluso contrario a los valores que informan la cultura corporativa de la organización. Es indudable que las personas afectadas por dicho código de conducta quedan obligadas a prestar su colaboración en el análisis o investigación de los hechos denunciados.

En este sentido, el denunciante tiene como responsabilidad no solamente poner en conocimiento de la empresa los hechos objeto de dicha denuncia, sino que dicha obligación se extiende también a la aportación de todas las evidencias o indicios, que pudiera conocer e incluso tener a su disposición.

Constituye un hecho también trascendente el relativo a la falsa imputación de hechos por medio de este medio. Así, la imputación de hechos con conocimiento expreso de su falsedad, o con “temerario desprecio hacia la verdad”, implica para dicho denunciante la incursión en responsabilidades de índole civil o penal, en lo que atañe a la lesión del honor o la intimidad del afectado o de su familia, sin perjuicio de que le puedan ser exigidas por la persona infamada otras responsabilidades (daño profesional, daño moral, etc.), o se puedan incoar acciones de naturaleza disciplinaria o de índole laboral por la propia empresa.

Tal como se ponía anteriormente de manifiesto, las grandes tensiones provocadas en este instrumento jurídico en el seno de las empresas, es el que hace referencia a la dialéctica entre confidencialidad de la denuncia y su anonimato.

Tal como se ha podido ver, la Agencia Española de Protección de Datos siguiendo un criterio normativo de la Unión Europea, ha optado básicamente por la confidencialidad, antes que por el anonimato, y este criterio, unido a la carencia de una cultura corporativa generalizada del uso de este medio, son los responsables en gran medida de la falta de la obtención de los rendimientos esperados y pretendidos del canal de denuncias.

No obstante ello, el razonamiento que sigue la Agencia de protección de datos, es la conveniencia de que las denuncias sean anónimas, en el sentido trascrito que se evite esa situación a los efectos de poder garantizar la exactitud e integridad de la información contenida en dicho canal de denuncia.

Pero el concepto jurídico utilizado por dicho Regulador de “tratar de evitar”, dista con mucho de la prohibición expresa del uso del mismo, cuando la denuncia es anónima, y de la misma no se puede determinar la identidad de su autor.

El problema surge incluso dentro de la más pura ortodoxia empresarial,  ante la imposibilidad de garantizar por parte de la empresa la confidencialidad de la identidad del denunciante más allá de los primeros momentos de la investigación. No hay que olvidar que, las consecuencias naturales de la realización de la denuncia son la depuración de responsabilidades en los órdenes disciplinario-laboral o penal, en función de la naturaleza, de la gravedad y de las evidencias existentes sobre los hechos denunciados.

Cuando la denuncia sobrepasa los límites de la propia empresa, por la misma no se puede seguir garantizando adecuadamente el mantenimiento de la confidencialidad de los datos relativos al denunciante, porque al verse avocado el expediente a la sede judicial, las partes, especialmente el denunciado, máxime si el mismo es sancionado o imputado  a consecuencia de la misma, lógicamente, va a tener acceso y terminar conociendo indefectiblemente la identidad real de la persona que formuló la denuncia.

Ello determina, la necesidad de buscar otras alternativas que hagan ganar en eficacia el uso de este canal de denuncias.

Una de ellas, la cual se expone a título de ejemplo, puede ser la aquella que hace referencia a que, con independencia de los plazos establecidos para la conservación del carácter confidencial de los datos contenidos en la denuncia por parte de la empresa, una vez transcurrido el plazo prudencial de los dos meses del periodo de investigación y constatación de los hechos en ella contenidos, se permitiera a la empresa convertir la denuncia confidencial, en denuncia anónima, a los efectos de preservar, si cabe, con más fortaleza los datos de identificación del denunciante, o la utilización de cualquier otra medida orientada en esta dirección.

En todo caso, las normas que regulan el funcionamiento de un canal de denuncias deben contener, por razones obvias, la reserva de confidencialidad de todas aquellas personas que intervengan en la investigación de los hechos denunciados, a los efectos de garantizar el secreto de todas las actuaciones que deriven de dicha denuncia, incluida la misma.

Normalmente, la vía de realización  y formulación de la denuncia se exige que sea por medio del canal de comunicación expresamente habilitado por la empresa para ello, o sustitutivamente por cualquier otro medio de comunicación de que disponga la organización por vía interna, y debe estar presidida su realización por una serie de criterios como pueden ser los de veracidad, en el sentido de que los hechos que sean objeto de la denuncia sean veraces y ciertos; el criterio de la claridad o de la no ambigüedad, ya que deben exponerse los mismos de la mejor forma posible para su comprensión a los efectos de la determinación de su verdadero alcance; y finalmente, los hechos denunciados deben ser objeto de una explicación extensiva, donde se aporten el mayor número de datos, informaciones y evidencias, que permitan su mejor investigación y constatación.

Con relación a estos criterios, debe exigirse en el funcionamiento de este canal de denuncias la aplicación de unos principios éticos serios y firmes, de tal modo, que no se permita que dicho medio de comunicación, sea empleado por la persona vinculada para dirigirse a la empresa con una finalidad espuria e interesada, persiguiendo objetivos no contemplados en el código de conducta de la empresa, o diferentes a los que justifican la propia existencia del citado canal.

En el examen de las características y vicisitudes que presenta en la actualidad el canal de denuncias, deben considerarse, tal como pone de manifiesto Mazars, las principales tendencias actuales sobre esta materia, muy vinculadas a la reciente reforma del Código Penal  en materia de responsabilidad de las personas jurídicas.

Dichas tendencias se concretan de manera fundamental, en las siguientes posiciones:

a). La necesidad de que las organizaciones procedan de manera efectiva a la implantación y divulgación de un canal a través del cual los empleados o colaboradores puedan advertir de irregularidades detectadas en la organización.

b).  La contratación de un canal ético de denuncia externo, independiente de la organización, que cuente con expertos y utilice un protocolo de actuación para tratar las denuncias recibidas y que garantice el anonimato del denunciante.

c).  La presentación de un canal de denuncia efectivo como atenuante de la responsabilidad penal, que justifique que se ha ejercido el debido control de los empleados y administradores dentro de la organización.

d).  la aportación al Juez de  los protocolos e informes asociados al Canal Ético de Denuncia, como prueba de la implantación de mecanismos de control en la organización para detectar hechos irregulares.

e). la realización de  investigaciones internas por parte del comité de Auditoría, en caso de recibir una denuncia suficientemente fundada.

Otras Columnas por Javier Puyol Montero:
Opinión | Los ciberataques también son posibles contra los teléfonos móviles
Opinión | Neurotecnología: ¿Estamos listos para el próximo gran desafío ético y legal?
Opinión | Ciberseguridad e Inteligencia Artificial: vinculaciones
Opinión | La Inteligencia Artificial y la función de juzgar
La estrategia española de transformación digital y el «Sandbox» sobre la Inteligencia Artificial
Tiempo de recuperación tras un ciberataque
Últimas Firmas
  • Opinión | Comisiones de investigación y presunción de inocencia
    Opinión | Comisiones de investigación y presunción de inocencia
  • Opinión | De cómo la Diputación Provincial de Córdoba concede magna merced a parte de su personal interino
    Opinión | De cómo la Diputación Provincial de Córdoba concede magna merced a parte de su personal interino
  • Opinión | Circunstancias atenuantes: disminuir la pena por resarcir los daños
    Opinión | Circunstancias atenuantes: disminuir la pena por resarcir los daños
  • Opinión | Turno de oficio en 2024: ¿Por qué seguimos en huelga?
    Opinión | Turno de oficio en 2024: ¿Por qué seguimos en huelga?
  • Opinión | ¿Cumple el fichaje de Broncano con la Ley de Contratos del Sector Público?
    Opinión | ¿Cumple el fichaje de Broncano con la Ley de Contratos del Sector Público?