Los sistemas de whistleblowing consisten en la creación de un canal de denuncias, anónimas o no, sobre el incumplimiento de normas internas por parte de empleados de una empresa. No es algo muy común, pero se está introduciendo en nuestro país gracias al mundo de la Bolsa.
El problema del chivateo institucionalizado es que choca con la normativa sobre protección de datos, ya que la gracia de estas cosas es que el acusado no sepa nada hasta que se haya resuelto la investigación. Se produce por tanto una recogida y tratamiento de datos sin mediar consentimiento del afectado, que además complicaría las cosas si ejerciera su derecho de acceso.
La ausencia de consentimiento se justificaría en la medida en que dicho tratamiento fuera necesario para el desarrollo y mantenimiento de la relación contractual (laboral, civil o mercantil) existente entre las partes, lo que habría que ver en cada caso. Hubiera sido deseable alguna referencia al Estatuto de los Trabajadores en tanto fundamento y límite a los derechos del empresario, pero bueno, en cualquier caso la AEPD entiende que un sistema genérico de este tipo, sin aclarar qué tipo de acciones, comportamientos o hechos se incluirían en estos casos y la normativa en la que se basarían, no es conforme con la LOPD. La empresa debería justificar este tipo de sistemas teniendo en cuenta los principios de finalidad y proporcionalidad.
Se deja claro que debe garantizarse la confidencialidad del denunciante, por lo que en caso de ejercitarse el derecho de acceso no se debería informar sobre la identidad de éste. Según la AEPD, el derecho del afectado está limitado a la información que corresponde a terceras personas, cuya revelación por la empresa supondría una cesión de datos no amparada por la LOPD. Ciertamente en algunos casos entiendo que la confidencialidad debe estar asegurada (pensemos casos de acoso laboral o sexual, por ejemplo), pero si el acceso implica conocer el origen de los datos, creo que para que este interés legítimo ceda frente al anonimato tiene que estar amparado en la ley.
Como contrapunto, no se permiten las denuncias anónimas. Teniendo en cuenta la posible conexión de estos procedimientos con los sindicatos y que pueden tener cabida datos de todo tipo, las medidas de seguridad deben ser de nivel alto.
A nuestro juicio, debería partirse del establecimiento de procedimientos que garanticen el tratamiento confidencial de las denuncias presentadas a través de los sistemas de “whistleblowing”, de forma que se evite la existencia de denuncias anónimas, garantizándose así la exactitud e integridad de la información contenida en dichos sistemas.
La garantía de la confidencialidad debería manifestarse a través del hecho de que la persona denunciada no pudiera acceder a los datos identificativos de la persona denunciante.
Sería imprescindible que se establezca un plazo máximo para la conservación de los datos relacionados con las denuncias, que debería limitarse a la tramitación de las medidas de auditoría interna que resultasen necesarias y, como máximo, a la tramitación de los procedimientos judiciales que se derivasen de la investigación realizada (como, por ejemplo, los que se deriven de las medidas disciplinarias adoptadas o de la exigencia de responsabilidad contractual a los auditores).
La Gaceta Jurídica de Hispacolem |