Canal de denuncias: guía RGPD para empresas
¿Qué es un canal de denuncias?
Los sistemas de denuncia de irregularidades (whistleblowing hotlines) son unos canales de comunicación que permiten informar de incumplimientos y violaciones normativas. Normalmente son telemáticos y reúnen todas aquellas denuncias de prácticas internas que pueden afectar de manera grave a la empresa o comprometer la responsabilidad de los trabajadores.
Se trata, en suma, de un canal interno de comunicación en el que empleados, colaboradores y proveedores pueden denunciar irregularidades. Siempre de forma confidencial, cuando no anónima, para evitar riesgos de estigmatización y vejación hacia el trabajador (acoso, discriminación por salario, sexo u origen…)
Esta herramienta es obligatoria para la Administración del Estado y para empresas con más de 50 agentes o empleados. Para casos inferiores a 50 colaboradores, se abrirá un canal externo o se informará directamente al superior jerárquico. En este sentido, la formación de mandos intermedios es crucial para garantizar una gestión responsable de los datos personales, tanto del denunciante como del denunciado.
Whistleblowing y protección de datos
Según el artículo 24 de la LOPDGDD, una denuncia interna es un tratamiento de datos. Así, la legitimidad para recoger información personal se fundamentaría en dos supuestos:
- Interés público (fraude financiero, blanqueo de capitales, financiación ilegal…)
- Cumplimiento de una obligación legal (comunicación a un tercero con potestad sancionadora)
La finalidad y conservación del tratamiento debe estar limitada únicamente a los motivos que lo justificaron (principio de minimización) y a la investigación de los hechos que se deriven de ello, solo ampliable en caso de depuración de responsabilidades.
¡Elabora tu compliance plan!
En este sentido, y al estar hablando de un tratamiento de datos, la organización debe adoptar las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos. Una de estas acciones clave consiste en desarrollar un “compliance plan” en el que se informe previamente de la existencia de estos canales de denuncia y del tratamiento de datos. La información puede proporcionarse:
- En el contrato de trabajo.
- A través de circulares informativas a los trabajadores y a sus representantes.
- Individual o colectivamente al implementar o modificar el sistema.
Del mismo modo, siguiendo el “compliance plan”, la AEPD (Informe 128/2007) recomienda la aplicación de todas aquellas acciones técnicas y organizativas dirigidas a garantizar la seguridad de los datos personales. Algunas de estas medidas serían:
- Cifrados de seguridad.
- Identificación de los soportes y los accesos autorizados.
- Registro de accesos.
- Copias de seguridad y back-ups.
- Mecanismos que dificulten la apertura de las bases de datos.
- Debida custodia de los soportes.
- Auditorías bianuales.
Por último, de forma algo más abstracta y sea cual sea el método de registro, la empresa debe garantizar un sistema autónomo de denuncias. Cualquier represalia o miedo a perder el trabajo puede derivar en situaciones de vulnerabilidad entre poderes desiguales. Así, la formación en protección de datos adquiere una importancia capital:
- El departamento, encargado o empresa externa debe recibir formación en privacidad.
- El sistema de denuncia de irregularidades debe estar separado de otros departamentos.
- Garantía de que la información recogida es tratada exclusivamente por personas formadas y autorizadas a gestionar esa información personal.
- La empresa debe notificar a la AEPD el establecimiento de un canal de denuncias.
- Las plataformas externas de denuncia también deben cumplir la normativa.
¿Qué ocurre si no cumplo?
Por un lado, encontramos las sanciones administrativas de la Agencia Española de Protección de Datos. La AEPD multa si el canal de denuncias no cumple con las disposiciones del RGPD y de la LOPDGDD.
Por otro lado, las empresas pueden resultar responsables penales por los delitos que cometan sus directivos y, en especial, sus empleados. Este asunto adquirió mayor importancia tras la reforma del Código Penal (Ley Orgánica 1/2015), que abría la posibilidad a las empresas de quedar exoneradas de la responsabilidad penal si cuentan, entre otros, con una vía interna de denuncias en su “compliance plan”.
En resumen, la implantación de canales internos de denuncia puede servir a una empresa para evitar responsabilidades penales.
¡Asegura tu canal de denuncias con Actecil!
Actecil es tu aliado RGPD para asegurar la confidencialidad de todos tus procesos internos, incluido tu canal de denuncias.
Auditamos tus tratamientos, te acompañamos en la elaboración de tu “compliance plan” e impartimos la formación necesaria para que tus empleados sepan tratar los datos de cualquier denuncia. ¡Evita multas y responsabilidades penales con un canal de denuncias seguro y confome a la ley!
Y si tienes cualquier otro problema RGPD, Actecil pone a tu disposición la única solución integral de protección de datos del mercado: auditoría, consultoría, software RGPD, formación, DPO externo y una misión internacional. ¡Todos nuestros DPO están titulados ante las autoridades europeas!
Recuerda, ¡confidencialidad garantizada en tu canal de denuncias gracias a Actecil!
¡Infórmate ya!