Los canales de denuncias y la LOPD en los programas complaince

Tras las últimas reformas del año 2015 en nuestro texto punitivo y la consiguiente responsabilidad penal de las personas jurídicas, cada vez más, las empresas irán estableciendo a través de la implantación de modelos de prevención escudos y armaduras, para no verse envueltas en imputaciones de orden penal en el seno empresarial.

Dentro de la configuración que va a suponer en una organización la implantación de un modelo de prevención, se establece , la creación de un canal de denuncia o whistleblowing (interno y/o externo), que permitiera la comunicación de posibles incumplimientos de las normas internas de la empresa y/o de las normas legales que debían obedecer¸ Con estos sistemas se pretende , permitir a las empresas implantar las pertinentes medidas de investigación y sancionar todos aquellos hechos punibles que se detectaran; Dicha circunstancia está íntimamente vinculada con el tratamiento de información sensible que se lleva a cabo en el seno de la empresa,; Por ello por parte de la Agencia Española de Protección de Datos (AEPD), se elaboró un estudio jurídico que cristalizó en el Informe jurídico 128/2007.

Entre las principales conclusiones que se alcanzaban en el mismo, puede destacarse que los canales de denuncia debían disponer de legitimación jurídica para el tratamiento de los datos. De esta forma el Informe señalaba que:

“debe señalarse que no existe en el ordenamiento jurídico español una previsión general similar a la impuesta a “Las empresas de servicios de inversión, las entidades de crédito y las personas o entidades que actúen en el Mercado de Valores, tanto recibiendo o ejecutando órdenes como asesorando sobre inversiones en valores” por el artículo 79.1 d) de la Ley del Mercado de Valores, consistente en “Disponer de los medios adecuados para realizar su actividad y tener establecidos los controles internos oportunos para garantizar una gestión prudente y prevenir los incumplimientos de los deberes y obligaciones que la normativa del Mercado de Valores les impone”, lo que hubiera permitido fundar el tratamiento en los artículos 6.1 y 11.2 a) de la Ley Orgánica 15/1999”.

La Agencia Estatal para la Protección de datos consideró la posible aplicación en estos procedimientos de la legitimación conferida por el artículo 7 b) de la Directiva, que permite el tratamiento de los datos “necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado… dado que la Ley española no impone el deber jurídico de implantar estos procedimientos y que la regla del interés legítimo ha de venir referenciada al reconocimiento del mismo por una norma legal aplicable al caso”

En consecuencia consideraba la legitimación jurídica relativa a la creación de un canal de denuncia siempre que hubiere conocimiento de la existencia de los mecanismos descritos por parte de las personas cuyos datos pudieran ser tratados por los mismos, quedando la existencia de dichos procedimientos incorporada a la relación contractual como parte integrante de la misma, el tratamiento de los datos pudiese considerarse necesario para el desarrollo y control adecuado de la relación contractual, lo que permitiría considerar el mismo amparado en la Ley Orgánica 15/1999”

Otra circunstancia trascendente que se mencionaba en el Informe, era su pronunciación respecto al plazo de conservación de la información obrante en los sistemas:

“En relación con este punto, el documento del Grupo de Trabajo señala que “Los datos personales tratados por un programa de denuncia de irregularidades deberían eliminarse, inmediatamente y normalmente en un plazo de dos meses desde la finalización de la investigación de los hechos alegados en el informe”.

En este sentido, sería imprescindible que se establezca un plazo máximo para la conservación de los datos relacionados con las denuncias, a fin de evitar el mantenimiento de los mismos por un período superior que perjudique los derechos del denunciado y del propio denunciante, cuya confidencialidad debe quedar garantizada.”

Como resumen de lo expuesto, señalar que la Agencia Estatal de Protección de datos, valida el establecimiento de dichos canales de denuncia, si bien se deberán cumplir los requisitos establecidos en la Ley Orgánica de Protección de Datos de Carácter personal; En suma, la práctica, modelos de implantación y la casuística de los Tribunales, a buen seguro irán perfilando los matices y particularidades de estas complejas figuras que dentro del organigrama empresarial y desde que existe la responsabilidad penal de las personas jurídicas, confluyen y están condenadas a interrelacionarse.