La protección de los informantes es un reto crucial para las empresas que buscan cumplir con la Ley 2/2023, de 20 de febrero, que regula los sistemas de denuncia interna y externa.
Esta normativa transpone la Directiva Europea 2019/1937 e introduce una serie de obligaciones para garantizar la confidencialidad y el anonimato de los denunciantes, asegurando que puedan reportar irregularidades sin temor a represalias.
Canales de denuncia: confidencialidad y anonimato
La Ley 2/2023 establece la obligación de que los canales de denuncia interna y externa garanticen la independencia y autonomía en el tratamiento de la información recibida. Es fundamental que dichos sistemas no solo protejan la confidencialidad del denunciante, sino que además aseguren que la información no pueda ser accedida por personal no autorizado, garantizando su integridad y disponibilidad para futuras investigaciones o procedimientos judiciales.
En nuestra experiencia práctica, uno de los mayores riesgos identificados en la práctica está relacionado con el uso de cookies y tecnologías de rastreo en los sitios web que alojan estos canales. Muchas veces, las empresas permiten que estos sitios utilicen cookies que recogen datos personales o rastrean la actividad del usuario.
El uso de cookies de seguimiento o publicidad en este contexto es incompatible con la protección del denunciante, cuando hemos analizado las plataformas que recogen las denuncias, hemos denotado su presencia en muchos de los sistemas actuales evidencia una falta de adaptación a las exigencias normativas.
Cumplimiento del RGPD y protección de datos
El tratamiento de los datos personales está sujeto al estricto cumplimiento del RGPD y de la Directiva (UE) 2016/680, que subraya la necesidad de que las empresas apliquen medidas técnicas y organizativas adecuadas para proteger los datos desde el diseño.
Esto incluye el uso de técnicas como la seudonimización, el cifrado de datos, la minimización de la información recabada y la inmediata eliminación de las categorías especiales de datos, con el objetivo de reducir al mínimo los riesgos de exposición no autorizada.
El artículo 32 del RGPD exige un nivel de seguridad adecuado, lo que implica la capacidad de restaurar rápidamente la disponibilidad de los datos en caso de un incidente.
Sin embargo, en la práctica, hemos detectado que muchas organizaciones no implementan correctamente estas medidas. Por ejemplo, es habitual que la información denunciada se gestione a través de canales no cifrados, como correos electrónicos convencionales o aplicaciones de mensajería no seguras y por personal sin conocimientos específicos.
Ciberseguridad: un requisito imprescindible
Además de las obligaciones legales en materia de privacidad, la ciberseguridad es un factor crítico en la protección de los canales de denuncia, que deben estar blindados mediante herramientas de autenticación multifactor, cifrado extremo a extremo y una estricta gestión de los accesos.
En este sentido, la ISO 37002, que establece un marco de gestión para las denuncias, recomienda la adopción de indicadores clave de rendimiento (KPIs) que midan la efectividad y resiliencia de los sistemas frente a las amenazas de ciberseguridad.
Formación y buenas prácticas en la gestión de denuncias
No obstante, de nada sirve contar con una plataforma técnica avanzada si los gestores o responsables de estos sistemas no garantizan la confidencialidad ni el anonimato ni están debidamente formados en seguridad de la información.
La experiencia nos demuestra que muchos de los problemas en la gestión de las denuncias surgen por malas prácticas, como el uso de correos electrónicos sin cifrar o la falta de control sobre el acceso a la información sensible.
En definitiva, el reto no es solo cumplir con las normativas legales, sino también crear un entorno de confianza donde los empleados puedan denunciar irregularidades sin miedo, sabiendo que su privacidad estará completamente protegida.
