Derecho Digital: “Compliance” y la gestión de riesgos legales (parte III)

1.- Programas “Compliance” y los sistemas de denuncia interna

En los anteriores posts sobre “Derecho Digital: Compliance y la gestión de riesgos legales” se hizo una introducción a los conceptos básicos que definen dicha materia relacionada con el Derecho preventivo en el entorno de práctica de un abogado TIC y sobre aquellos elementos básicos que deben configurar un programa de Compliance en el ámbito de los negocios digitales.

Como ya se comentó anteriormente, los tres elementos que se deben tener siempre en consideración para el desarrollo adecuado de un plan de compliance en Derecho Digital son:

• Un conocimiento especializado de la normativa legal del sector TIC.
• Un conocimiento del uso y funcionamiento de la tecnología.
• Una metodología que permita la gestión de los riesgos legales y cumplimiento normativo de forma continua.

En este artículo nos centraremos en una de las herramientas más importantes de un programa de cumplimiento normativo, el canal de denuncias internas o los mecanismos de “whistleblowing”.

Cómo ya se comentó en el artículo “Derecho Digital: Compliance y la gestión de riesgos legales (II)”, una metodología adecuada de cumplimiento normativo y gestión de riesgos debe permitir:

• Revisar y/o monitorizar hechos o acciones relevantes de la organización con posibles consecuencias jurídicas en Derecho TIC.
• Comunicar cualquier hecho o acción que pueda tener incidencia en el cumplimiento normativo.
• Actuar de forma urgente y/o planificada para poder gestionar cualquier riesgo legal producido por tales hechos detectados o comunicados.

Por lo tanto para conseguir que dichas acciones se puedan desarrollar adecuadamente, el canal de denuncias internas será una herramienta muy importante para hacer efectivo el cumplimiento del programa de cumplimiento normativo de una organización.

2.- Cuestiones legales previas sobre el canal de denuncias

Un canal de denuncias es una herramienta que debe permitir encauzar las posibles irregularidades detectadas por personas vinculadas a una organización (no sólo trabajadores sino también accionistas, proveedores, clientes e incluso familiares de los anteriores colectivos afectados) a través de un entorno seguro y por tanto que genere tanto confianza a los denunciantes como también garantías jurídicas a los posibles denunciados. Por lo tanto nos encontramos ante una herramienta con un importante impacto en la privacidad de las personas que tienen algún vínculo directo e indirecto con la organización.

Tomando como referencia el Informe jurídico 128/2007 de la Agencia Española de Protección de Datos (AEPD) y el Dictamen 1/2006 (WP117) del Grupo Artículo 29 de la UE sobre los sistemas de denuncias internas en las empresas (mecanismos de “whistleblowing”) ya establecían que el tratamiento y cesión de los datos habrán de ampararse en alguno de los supuestos contemplados en los citados artículos 6.2 y 11.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), dado que ya se consideraba que por la propia naturaleza de estos procedimientos no se contaría, con el consentimiento de los denunciados.

Según el dictamen WP117, ya mencionado, “tal y como están las cosas, dos motivos parecen ser pertinentes en el presente contexto: o bien es necesario el establecimiento de un sistema de denuncia de irregularidades para el cumplimiento con una obligación jurídica (artículo 7(c)) o a los efectos de un interés legítimo perseguido por el responsable del tratamiento o por el tercero a quien se divulgan los datos (artículo 7(f))”, ambos de la Directiva 95/46/CE legitimación conferida por el artículo 7 b) de la Directiva, que permite el tratamiento de los datos “necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado”, objeto de transposición por los artículos 6.2 y 11.2 c) de la LOPD.

En consecuencia según las indicaciones del dictamen, todas las personas cuyos datos pueden ser tratados como consecuencia del establecimiento de procedimientos de denuncia, mantendrán con la sociedad un vínculo contractual de derecho laboral, civil o mercantil.

3.- El fichero de denuncias de las irregularidades

Uno de los aspectos de más dificultad técnica es la definición de los datos personales que serán necesarios para cumplir con la finalidad del fichero que el responsable deberá inscribir en la Agencia Española de Protección de Datos (AEPD). La dificultad radica en el cumplimiento del principio de calidad de los datos contemplado en el artículo 4 de la LOPD.

“Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”

Por otro lado una vez definidas las categorías de datos y sus finalidades por parte de la organización responsable e inscrito el fichero ante la AEPD, dichos tratamientos de datos personales serán válidos siempre y cuando previamente existiese pleno conocimiento de la existencia de los mecanismos descritos por parte de las personas cuyos datos pudieran ser tratados por los mismos sistemas de denuncia. Por lo tanto al considerarse que el tratamiento de los datos es necesario para el desarrollo y control adecuado de la relación contractual, dichos mecanismos o procedimientos formarían parte integrante de la relación contractual.

Como se ha comentado, se deberá informar sobre dichos tratamientos y mecanismos del sistema de denuncias de forma adecuada a los empleados a través de los correspondientes contratos o medios equivalentes en eficacia, con el fin de garantizar el cumplimiento de lo dispuesto en los artículos 5 de la LOPD. Dicha obligación informativa no se agotaría en esta primera fase por parte del responsable del fichero, sino que también una vez producida una denuncia existe la obligación de informar al denunciado de los extremos necesarios para el cumplimiento de este deber, facilitándole la información exclusivamente del afectado como máximo en el plazo de tres meses, según lo establecido en el artículo 5.4 de la LOPD,  desde la presentación de la denuncia.

Respecto a las medidas de seguridad del fichero de denuncia de irregularidades, el Informe jurídico 128/2007 de la Agencia Española de Protección de Datos establece la necesidad de aplicar las medidas de seguridad de nivel alto contempladas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

4.- Tratamiento confidencial de la información

El Dictamen 1/2006 del Grupo de Trabajo apuesta por sistemas de denuncias confidenciales que no sean anónimos pero también considera que para determinadas irregularidades podría estar justificada la presentación de informes anónimos a través del sistema de gestión de denuncias tomando medidas excepcionales para supuestos muy concretos previamente analizados. En cualquier caso siempre deberá garantizarse la confidencialidad de los datos donde la persona denunciada no pudiera acceder a los datos identificativos de la persona denunciante hasta que no se requiera de ello una vez determinada la categoría de la denuncia y no se establezca la necesidad de su comunicación cumpliendo con la normativa en vigor.

Por otro lado, en cumplimiento con el artículo 4 de la LOPD anteriormente mencionado, el dictamen del Grupo de Trabajo señala que “Los datos personales tratados por un programa de denuncia de irregularidades deberían eliminarse, inmediatamente, y normalmente en un plazo de dos meses desde la finalización de la investigación de los hechos alegados en el informe”.

5.- La gestión del canal de denuncias

Otro de los aspectos organizativos y legales a los que se enfrenta una organización es la configuración de la propia plataforma que sustente el canal de denuncias de irregularidades. Para ello en el supuesto de externalizarse la gestión de la plataforma a una entidad especializada, la organización responsable del fichero debe verificar previamente a su contratación si el proveedor del servicio cumple con todas las obligaciones de encargado de tratamiento según la normativa de protección de datos personales. Entre dichas obligaciones se encuentra la formalización del contrato de encargado de tratamiento del artículo 12 de la LOPD así como garantizar la implantación, cómo mínimo, de las medidas de seguridad para los tratamientos de datos de nivel alto que, como se ha dicho anteriormente, se encuentran detalladas en el título VIII del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Para no excederme en la extensión de este artículo, entre otros temas destacables, quedaría pendiente el análisis complejo de las transferencias internacionales de datos sobre los datos tratados en el canal de denuncias de un grupo multinacional de empresas, las cuales tienen que cumplir con ciertas normas que requieren de la acreditación de diligencia debida en su gestión interna a un nivel internacional como grupo en algunos casos.

En conclusión, como en anteriores artículos ya se destacó, para el diseño y desarrollo de un sistema de denuncias internas, y en general, de un programa de cumplimiento normativo que hace necesario implementar una serie de herramientas tecnológicas para su eficacia, se requiere de un perfil de jurista especializado en adecuación y gestión legal de procesos dentro de organizaciones, que tenga capacidad de  trabajo en equipo con otros profesionales del Derecho y las TIC así como ser conocedor de las mejores soluciones en tecnologías aplicadas a la gestión empresarial.

Eduardo López-Román

Abogado especializado en Derecho Digital

Socio fundador de Asociación de Expertos de la Abogacía TIC (ENATIC)

Twitter: @EduLawyer