Los canales de denuncias internas en las empresas y la protección de datos de carácter personal

 

I.               Introducción

El establecimiento de canales de denuncias internas en las empresas, también conocidos como sistemas de “whistleblowing”[1], es una práctica que tiene su origen en los países anglosajones y que consiste en la creación de cauces dentro de las compañías por los que resulte posible denunciar internamente irregularidades e infracciones legales y normativas cometidas en el seno de la empresa o en su ámbito de actuación.

Los primeros aspectos de los sistemas de denuncias que fueron objeto de regulación consistieron, de un lado, en los incentivos a los denunciantes o “whistleblowers” y, de otro, en la protección de los mismos frente a posibles represalias. Un buen ejemplo de lo primero lo constituye una de las primeras normas que incidió sobre la materia, la False Claims Act de 1863 ‒también llamada Lincoln Law‒, que fue aprobada durante la Guerra de Secesión norteamericana para combatir el fraude en los suministros al ejército de la Unión. Esta Ley, que sigue actualmente vigente tras diversas modificaciones, no sólo fomenta la denuncia de fraude contra el Gobierno Federal de los Estados Unidos, sino que regula un sistema de qui tam action[2] en virtud del cual el denunciante o “relator” ostenta legitimación para emprender una acción legal en defensa del Gobierno, con derecho a percibir un porcentaje del importe que se consiga recuperar. En cuanto a la protección legal a los denunciantes, cabe hacer referencia tanto a la Lloyd-La Follette Act de 1912 como a la más reciente Whistleblower Protection Act de 1989, dos leyes estadounidenses promulgadas con el fin de blindar laboralmente a los funcionarios que informaran sobre irregularidades cometidas en el seno de la administración, así como a la Public Interest Disclosure Act de 1998 del Reino Unido, que tiene como finalidad la protección en el ámbito empresarial de los individuos que revelen información de interés público.

Sin embargo, la más reciente implantación de los sistemas de “whistleblowing” en empresas dentro de la Unión Europea ha puesto de relieve un aspecto de estos mecanismos distinto de los incentivos o la protección de los “whistleblowers”, que es la compatibilidad de los programas de denuncia internos de las empresas con las normas de protección de datos de carácter personal.

Desde la perspectiva de la normativa de protección de datos, los canales de denuncias internas de las empresas suponen tratamientos de datos de carácter personal, entendidos los datos de carácter personal como «toda información sobre una persona física identificada o identificable»[3] y el tratamiento de los mismos como «cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destruccións»[4]. En consecuencia, no cabe ninguna duda de que los sistemas de “whistleblowing” están dentro del ámbito de aplicación de la normativa que regula la protección de datos de carácter personal.

 

II.              “Whistleblowing” en la Unión Europea

 A raíz de la entrada en vigor de la Sarbanes-Oxley Act (SOX) norteamericana de 2002, se exige a las sociedades estadounidenses que cotizan en bolsa y a sus filiales basadas en la Unión Europea, así como las sociedades no estadounidenses que coticen en alguno de los mercados de valores Estados Unidos, que establezcan en su comité de auditoría «(…) procedimientos para la recepción, retención y tratamiento de quejas recibidas por el causante en relación con la contabilidad, controles contables internos o cuestiones de auditoría; y la presentación confidencial y anónima por parte de los empleados de la persona causante de preocupación en relación con cuestiones contables o de auditoría cuestionables» (Sección 301[5]).

Con fecha 1 de febrero de 2006 el Grupo de Trabajo del Artículo 29 sobre Protección de Datos, órgano consultivo europeo e independiente sobre protección de datos creado en virtud de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, emitió su Dictamen sobre la aplicación de las normas de la UE relativas a la protección de datos a programas internos de denuncia de irregularidades en los campos de la contabilidad, controles contables internos, asuntos de auditoría, lucha contra el soborno, delitos bancarios y financieros, en el que analiza (i) la cuestión de la legitimidad de los sistemas de denuncia de irregularidades; (ii) la aplicación de los principios de calidad de datos y proporcionalidad; (iii) la provisión de una información clara y completa sobre el programa; (iv) los derechos de la persona incriminada; (v) la seguridad de las operaciones de tratamiento; (vi) la gestión de los programas de denuncia de irregularidades internos; (vii) las cuestiones relativas a la transferencia de datos internacionales; y (viii) los requisitos de comprobación previa y notificación.

El Grupo de Trabajo, que deja claro que su informe se limita exclusivamente a los programas en los que se denuncien irregularidades en las áreas de contabilidad, auditoría, lucha contra el soborno y delitos bancarios y financieros,  entiende que para que un programa de denuncia de estas características sea legal, el tratamiento de los datos personales debe ser legítimo y satisfacer uno de los motivos establecidos en el artículo 7 de la Directiva sobre protección de datos, en este caso, que resulte necesario para el cumplimiento de una obligación jurídica (artículo 7.c) o a los efectos de un interés legítimo perseguido por el responsable del tratamiento o por el tercero a quien se divulgan los datos (artículo 7.f). Así mismo, indica que cuando no haya una obligación legal deberá encontrarse un equilibrio entre el interés legítimo perseguido por el tratamiento de datos personales y los derechos fundamentales del interesado.

Por lo que se refiere a la aplicación de los principios de calidad y de proporcionalidad de los datos a los canales de denuncia, el Dictamen plantea la posible limitación del número de personas autorizadas para informar de supuestas incorrecciones o mala conducta, la posible limitación de las personas que puedan incriminarse a través del programa de denuncia de irregularidades y, fundamentalmente, la promoción de informes identificados y confidenciales frente a los informes anónimos. Sobre esto último, cabe señalar que el Dictamen esgrime toda una serie de razonamientos a favor del establecimiento de un sistema confidencial frente a otro anónimo, pero que, a pesar de esa clara preferencia, en modo alguno rechaza de forma absoluta el tratamiento de informes anónimos.

En cuanto al suministro de información clara y completa sobre el programa de denuncias, el Grupo de Trabajo entiende que, en aplicación del artículo 10 de la Directiva sobre protección de Datos, el responsable del tratamiento tiene el deber de informar a los interesados (a) sobre la existencia, objetivo y funcionamiento del programa; (b) los destinatarios de los informes; y (c) los derechos de acceso, rectificación, cancelación y oposición de las personas de quienes se informa. El Dictamen advierte también de que los responsables del tratamiento deberán ofrecer información sobre el hecho de que la identidad del denunciante se mantendrá confidencial durante todo el proceso, que el abuso del sistema podría tener como consecuencia acciones contra el autor del abuso y, por último, que podrá informarse a los usuarios del sistema de que no se enfrentarán a ninguna sanción si utilizan el sistema de buena fe.

Con respecto a los derechos de la persona incriminada, el Dictamen del Grupo de Trabajo pone un especial énfasis en el derecho de información y señala que conforme al artículo 11 de la Directiva 95/46/CE es obligatorio informar a las personas siempre que los datos se recaben de un tercero ‒en este caso el denunciante‒ y no de ellas directamente. Más concretamente, indica que « (…) el empleado en cuestión deberá ser informado de: [1] la entidad responsable del programa de denuncia de irregularidades, [2] los hechos de los que se le acusa, [3] los departamentos y servicios que podrían recibir el informe dentro de su propia sociedad o en otras entidades o sociedades del grupo del que forma parte su sociedad, y [4] cómo ejercer sus derechos de acceso y rectificación.» En cambio, en opinión del Grupo de Trabajo, bajo ninguna circunstancia la persona acusada en el informe de denuncia de irregularidades podrá obtener información sobre la identidad del denunciante por parte del programa basándose en el ejercicio de su derecho de acceso, salvo cuando el denunciante realice una manifestación falsa de mala fe. En cualquier otro caso, siempre se respetará la  confidencialidad del denunciante.

 Para las medidas de seguridad el Dictamen se remite directamente a los reglamentos de seguridad establecidos en los diferentes Estados Miembros, indicando que se deberán tomar todas las precauciones técnicas con el fin de garantizar la seguridad de los datos en el momento de su recopilación, circulación y conservación, y subrayando  la exigencia de la confidencialidad de los informes realizados en los programas.

En relación con la gestión de los programas de denuncia de irregularidades, aunque el Grupo de Trabajo estima preferible el tratamiento interno del sistema, también reconoce que las empresas pueden libremente decidir contratar a prestatarios de servicios externos a los que contratar parte del programa, fundamentalmente para la recogida de los informes ‒sociedades que operen centros de llamadas, sociedades o bufetes jurídicos especializados… En todo caso, si se trata de servicios internos, éstos deberán estar compuestos por personal especialmente formado, dedicado, limitado su número y vinculado contractualmente por obligaciones de confidencialidad, además de estar estrictamente separados de otros departamentos de la empresa, tales como el departamento de recursos humanos. Si se trata de prestatarios de servicios externos, por un lado, la empresa continuará siendo la responsable del programa y, por otro lado, deberá firmarse un acuerdo que regule el tratamiento de los datos por cuenta de un tercero.

 

III.            “Whistleblowing” en España

El artículo 79 de la Ley 24/1988, de 28 de julio, del Mercado de Valores, en su redacción dada por el artículo 6.3 de Ley 37/1998, de 16 de noviembre (en vigor hasta el 21 de diciembre de 2007), cuando se refería a la obligación para las empresas de servicios de inversión, las entidades de crédito y las personas o entidades que actuasen en el Mercado de Valores de «(…) tener establecidos los controles internos oportunos para garantizar una gestión prudente y prevenir los incumplimientos de los deberes y obligaciones que la normativa del Mercado de Valores les impone» podría entenderse como una primera previsión dentro del ordenamiento jurídico español en la que podrían haber quedado amparados los mecanismos de whistleblowing, aunque  limitado a las empresas mencionadas por la citada norma.

Pero no sería hasta la publicación del Código Unificado de Buen Gobierno de las Sociedades Cotizadas, también conocido como “Código Conthe”, elaborado por la Comisión Nacional del Mercado de Valores en 2006, cuando se encontraría una referencia expresa a la implantación de canales de denuncias internas dentro de las empresas. Dicho Código establece entre sus recomendaciones que las sociedades cotizadas encomienden al Comité de Auditoría el establecimiento y seguimiento de cauces internos para que los empleados puedan denunciar irregularidades (“whistleblowing”) que protejan la identidad del denunciante e incluso, si se considera oportuno, permitan su anonimato. El Código parte de que tales mecanismos se destinarán preferentemente a la denuncia de irregularidades financieras y contables y, sobre todo, que respetarán escrupulosamente las limitaciones establecidas en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Y, por ello, entre otras recomendaciones, establece «(…) 50. Que corresponde al Comité de Auditoría: (…) d) Establecer y supervisar un mecanismo que permita a los empleados comunicar, de forma confidencial y, si se considera apropiado, anónima las irregularidades de potencial trascendencia, especialmente financieras y contables, que adviertan en el seno de la empresa.»

Con la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, se reguló expresamente por ley la exigencia de establecer canales de “whistleblowing”, aunque sin mencionarlos expresamente ‒la ley habla de “obligaciones de información” y de “comunicación por indicio”‒ y limitando tal exigencia a los sujetos obligados por la misma. En cualquier caso, por lo que aquí interesa, el artículo 32 de la citada ley contempla importantes especialidades en materia de protección de datos. En primer lugar, establece una excepción expresa a la necesidad del consentimiento del interesado, tanto para el tratamiento de sus datos de carácter personal como para las comunicaciones de los mismos previstas en la citada ley. En segundo lugar, la Ley de Prevención del Blanqueo de Capitales suprime el deber de información regulado en el artículo 5 LOPD en relación con las obligaciones reguladas en aquélla. En tercer lugar, establece que no serán de aplicación a los ficheros y tratamientos regulados en la Ley de Prevención del Blanqueo de Capitales las normas de la LOPD relativas a los derechos de acceso, rectificación, cancelación y oposición. Y, por último, indica que las medidas de seguridad a adoptar en relación con estos ficheros y tratamientos serán las correspondientes a un nivel alto.

Por último, con la entrada en vigor, el día 23 de diciembre del año 2010, de la Ley Orgánica  5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, se añadió un nuevo artículo al referido Código Penal, el artículo 31 bis, estableciendo un estatuto de responsabilidad penal de los entes jurídicos de carácter autónomo e independiente del de sus representantes legales, administradores de hecho o de derecho, y de las personas físicas sometidas a la autoridad de éstos y de aquéllos cuando hubiesen «(…) podido realizar los hechos por no haberse ejercido sobre ellos el debido control atendidas las concretas circunstancias del caso». Asimismo, en el apartado 4 de ese mismo artículo, el Código Penal establece como atenuante, entre otros, «haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica». Por lo tanto, el Código Penal constituye hoy en día una cobertura legal en España para la implantación de sistemas de denuncias internas dentro de las empresas de cualquier ámbito como una medida de control sobre los empleados y como una medida eficaz para prevenir y descubrir delitos.

Por su parte, la Agencia Española de Protección de Datos había tenido ya la ocasión de pronunciarse con respecto a la creación de sistemas de denuncias internas en las empresas en su Informe 128/2007, que fue emitido en respuesta a una consulta planteada por una empresa del ámbito farmacéutico que tenía la intención de implantar un sistema de “whistleblowing” en su seno. En este importante Informe, entre otras cuestiones, la Agencia analiza la habilitación o legitimación de la empresa para el concreto tratamiento de datos de carácter personal que implica el canal de denuncias y estima que, a falta de un consentimiento inequívoco del afectado o de una norma legal habilitadora ‒invoca la Ley del mercado de Valores como ejemplo no aplicable al supuesto analizado‒, puede entenderse que existe habilitación para el tratamiento sobre la base de lo dispuesto en el artículo 6.2 LOPD, donde se establece que no será necesario el consentimiento, entre otros supuestos «(…) cuando los datos de carácter personal (…) se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento (…)». Por lo tanto, estima que podrán establecerse canales de denuncia con respecto a personas con los que la sociedad mantenga un vínculo contractual de derecho laboral, civil o mercantil y siempre que existiera pleno conocimiento por parte de las personas cuyos datos pudieran ser tratados. Además, la Agencia entiende que en todo caso sería preciso que el sistema «(…) se circunscriba a las denuncias referidas a materias o normas internas o externas cuyo incumplimiento tiene una consecuencia efectiva sobre el mantenimiento de la relación contractual entre la empresa y el denunciado (…)», sin que resulte suficiente su establecimiento en relación con incumplimientos genéricos.

Especial mención merece la exigencia, según el Informe, de que se identifique siempre al denunciante (prohibición de denuncias anónimas), permitiendo sólo procedimientos confidenciales de denuncias, sobre la base de la exactitud e integridad de la información contenida en los sistemas. De esta manera, la Agencia Española de Protección de Datos va más allá de lo que había opinado el Grupo de Trabajo del artículo 29 en su Dictamen 1/2006 puesto que, pese a la preferencia por la confidencialidad, éste entendía que «si la persona que informa al programa sigue queriendo permanecer en el anonimato, el informe se aceptará en el programa».

 En cuanto al derecho de acceso del denunciado y en relación con el tratamiento confidencial de la denuncia presentada, el Informe del Agencia concluye que queda prohibido el acceso por parte del denunciado a los datos del denunciante porque sería una comunicación o cesión de datos inconsentida y no amparada en los supuestos del artículo 11 LOPD.

 En relación con la conservación de los datos, sobre la base del artículo 4.5 LOPD, la Agencia estima que será imprescindible que se establezca un plazo máximo de conservación de los datos relacionados con las denuncias, limitado a la tramitación de la investigación interna o, en su caso, a la tramitación de los eventuales procedimientos judiciales, todo ello con el fin de evitar el mantenimiento de los mismos por un periodo excesivo que perjudique los derechos del denunciado y pueda poner en riesgo la confidencialidad del denunciante.

 En cuanto al deber de información al afectado sobre la existencia del tratamiento de sus datos y sobre la posibilidad de ejercicio de los derechos de acceso, rectificación, cancelación y oposición, la Agencia entiende que no deberá sobrepasarse en ningún caso el plazo de tres meses previsto en el artículo 5.4 LOPD, por tratarse de un supuesto en el que los datos no han sido recabados del titular de los mismos.

 Por último, con respecto a las medidas de seguridad a adoptar en relación con el sistema de denuncias, dado que no será nunca posible conocer a priori el contenido real del fichero que se generará por medio del sistema y dado que los datos derivados de las investigaciones y averiguaciones llevados a cabo puede implicar la inclusión en el sistema de datos especialmente protegidos, la Agencia concluye que será necesaria la implantación de medidas de seguridad de nivel alto.

 

IV.            Conclusiones

 La implantación de mecanismos de “whistleblowing” en las empresas tiene una incidencia fundamental en materia de protección de datos de carácter personal y, por lo tanto, será necesario cumplir con las obligaciones que impone la Ley Orgánica de Protección de Datos y de su Reglamento de desarrollo, salvo en lo que respecta a las excepciones establecidas en la Ley de Prevención del Blanqueo de Capitales.

Con la reciente reforma del Código Penal en materia de responsabilidad penal de las personas jurídicas y la exigencia de un mayor control sobre las personas que dependen de las mismas y del establecimiento de sistemas de prevención y de detección de delitos, se ha dotado a las empresas de un nuevo marco legislativo que ampara el establecimiento de canales internos de denuncias con las referidas finalidades de control interno y prevención y descubrimiento de delitos.

A pesar de todo lo anterior, sería muy conveniente que se regulasen por ley estos sistemas de “whistleblowing” para dotar su creación de una mayor seguridad jurídica, detallando las obligaciones y los derechos de las personas físicas y jurídicas implicadas, estableciendo los límites que deben observar estos mecanismos, y, en particular, para definir con claridad las especialidades que implican los canales internos de denuncias en materia de protección de datos de carácter personal.