{"id":17535,"date":"2020-10-05T20:18:36","date_gmt":"2020-10-05T18:18:36","guid":{"rendered":"https:\/\/eiposgrados.com\/?p=17535"},"modified":"2024-09-23T16:19:39","modified_gmt":"2024-09-23T14:19:39","slug":"whistleblowing-and-data-protection","status":"publish","type":"post","link":"https:\/\/eiposgrados.com\/eng\/blog-dpo\/whistleblowing-y-proteccion-de-datos\/","title":{"rendered":"Whistleblowing and data protection"},"content":{"rendered":"<p>El <strong><em>whistleblowing<\/em> <\/strong>es un t\u00e9rmino anglosaj\u00f3n asociado a la formulaci\u00f3n de denuncias a trav\u00e9s de un canal espec\u00edfico por parte de un trabajador que ha presenciado o tiene conocimiento de la comisi\u00f3n de un presunto delito en su centro de labores. Por su parte, el \u00f3rgano Supervisor Europeo de Protecci\u00f3n de Datos ha establecido que el objetivo de esta denuncia de irregularidades es arrojar luz sobre la corrupci\u00f3n proporcionando canales seguros para que el personal u otros informantes denuncien comportamientos no \u00e9ticos. Dichos procedimientos requieren el procesamiento de informaci\u00f3n personal confidencial relacionada con presuntos infractores, denunciantes y otras partes, como testigos<a href=\"#_edn1\" name=\"_ednref1\">[i]<\/a>. Las instituciones y \u00f3rganos de la UE est\u00e1n obligados a establecer procedimientos claros de denuncia de irregularidades, minimizando los riesgos posibles en la protecci\u00f3n de datos personales de todos los involucrados.<\/p>\n<p>En un enfoque pr\u00e1ctico, un sector de la doctrina ha se\u00f1alado que \u201ces habitual emplear el t\u00e9rmino <em>whistleblowing<\/em> para hacer referencia, tanto a los sistemas internos de alerta o canales de denuncia corporativos para tramitar las citadas denuncias, como a la propia pr\u00e1ctica consistente en denunciar dichos incumplimientos. El hecho de disponer de un sistema de whistleblowing constituye una muestra de buen gobierno y evidencia el compromiso, as\u00ed como contribuye notablemente a reducir potenciales riesgos y sanciones de las empresas por incumplimientos que se hayan producido bajo su esfera de tutela\u201d<a href=\"#_edn2\" name=\"_ednref2\">[ii]<\/a>.<\/p>\n<p>En nuestra normativa, esta tem\u00e1tica se recoge por primera vez en el <strong>apartado 2 del art. 31 bis C\u00f3digo Penal<\/strong> formulando el deber de \u201c<em>informar de posibles riegos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevenci\u00f3n\u201d<\/em>. <strong>Actualmente destacan<\/strong>:<\/p>\n<ul>\n<li>Norma ISO 19600, sobre Sistemas de Gesti\u00f3n de Compliance.<\/li>\n<li>Ley Org\u00e1nica 3\/2018, de 5 de diciembre, de Protecci\u00f3n de Datos Personales y garant\u00edas de derechos digitales. Espec\u00edficamente, el art. 24: \u201c<em>Ser\u00e1 l\u00edcita la creaci\u00f3n y mantenimiento de sistemas de informaci\u00f3n a trav\u00e9s de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso an\u00f3nimamente, la comisi\u00f3n en el seno de la misma o en la actuaci\u00f3n de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deber\u00e1n ser informados acerca de la existencia de estos sistemas de informaci\u00f3n (\u2026)\u201d<\/em>.<\/li>\n<li>Dictamen N\u00ba 1\/2006 del Grupo de Trabajo del art\u00edculo 29 cuyo contenido se\u00f1ala expresamente la importancia de \u201c<em>Aplicar las normas de protecci\u00f3n de datos de la Uni\u00f3n Europea a los programas de denuncias de irregularidades supone otorgar una consideraci\u00f3n espec\u00edfica a la cuesti\u00f3n de la protecci\u00f3n de datos de la persona que puede haber sido incriminada en una alerta. En ese sentido, el Grupo de Trabajo enfatiza que los programas de denuncias de irregularidades conllevan un riesgo muy grande de estigmatizaci\u00f3n y vejaci\u00f3n de dicha persona dentro de la organizaci\u00f3n a la que pertenece<\/em>\u201d.<\/li>\n<li>Informe jur\u00eddico de la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD) N\u00ba 128\/2007. En este documento se analiza la legalidad de un sistema de denuncia interna o <em>whistleblowing<\/em> conforme a la normativa de protecci\u00f3n de datos vigente (ex Ley Org\u00e1nica 15\/1999, de 13 de diciembre), en vista del tratamiento de datos personales contenidos en la denuncia de un presunto delito.<\/li>\n<li>Directiva (UE) 2019\/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protecci\u00f3n de las personas que informen sobre infracciones del Derecho de la Uni\u00f3n<a href=\"#_edn3\" name=\"_ednref3\">[iii]<\/a>.<\/li>\n<\/ul>\n<p>El Grupo de Trabajo enfatiza que los programas de denuncia de irregularidades deben establecerse cumpliendo con las normas de protecci\u00f3n de datos de la Uni\u00f3n Europea. El dictamen en cuesti\u00f3n expuso que el <em>whistleblowing<\/em> fue dise\u00f1ado como un complemento de los canales de informaci\u00f3n habituales de la organizaci\u00f3n, tales como los representantes de los trabajadores, los mandos directivos, el personal de control de calidad o los auditores internos, cuya funci\u00f3n es precisamente denunciar esos incumplimientos. El <em>whistleblowing <\/em>deber\u00e1 verse como un complemento, y no como un sustituto, de la gesti\u00f3n y comunicaci\u00f3n interna del negocio.<\/p>\n<p>La importancia de proteger la identidad del trabajador denunciante recae en el que el mismo no padezca represalias de sus superiores inmediatos o cualquier otra persona involucrada en el hecho delictivo objeto de denuncia. Se pretende que en virtud del poder control del empresario no se omita la denuncia o correspondiente investigaci\u00f3n de presuntos hechos delictivos, para ello conviene equilibrar la posici\u00f3n del trabajador a fin de que predomine su deber de preservar la justicia social sobre su miedo a perder su empleo. Caben diferentes m\u00e9todos por los cuales una empresa puede proteger los canales de denuncias, por un lado puede proceder con la anonimizaci\u00f3n de la identidad de los denunciantes, de tal modo que el Compliance Officer tome conocimiento \u00fanicamente del evento irregular denunciado. La utilizaci\u00f3n de este mecanismo aunque es m\u00e1s seguro con los denunciantes, puede generar falsas denuncias o la ausencia de informaci\u00f3n necesaria para continuar con una investigaci\u00f3n minuciosa.<\/p>\n<p>Entre las diversas cuestiones que aborda el Dictamen 1\/2006, es importante se\u00f1alar que el Grupo del art\u00edculo 29 no favorece el empleo de denuncias an\u00f3nimas en los procesos de <em>whistleblowing<\/em>. Y ello porque (i) el anonimato no conseguir\u00eda disuadir a los interesados de conocer qui\u00e9n realiz\u00f3 la denuncia; (ii) es m\u00e1s compleja la investigaci\u00f3n de un asunto si el denunciante no puede contestar dudas en el seguimiento de la denuncia; (iii) es m\u00e1s f\u00e1cil organizar la protecci\u00f3n del <em>whistleblower<\/em> contra la represalia, especialmente si esa protecci\u00f3n se confiere por la ley, cuando las denuncias se efect\u00faan de manera abierta; (iv) las denuncias an\u00f3nimas pueden llevar la atenci\u00f3n o enfoque a qui\u00e9n es el <em>whistleblower<\/em>; (v) se corre el riesgo de desarrollar una cultura de efectuar denuncias an\u00f3nimas; y (vi) podr\u00eda deteriorarse el clima social si los empleados advierten que pueden ser denunciados de manera an\u00f3nima en cualquier momento<a href=\"#_edn4\" name=\"_ednref4\">[iv]<\/a>. Por estas razones, el Grupo del art\u00edculo 29 concluye que el m\u00e9todo an\u00f3nimo colisiona con el principio esencial de recolecci\u00f3n justa de los datos y, en consecuencia, como regla general dispone que deber\u00edan admitirse denuncias identificadas en los procedimientos de <em>whistleblowing<a href=\"#_edn5\" name=\"_ednref5\"><strong>[v]<\/strong><\/a><\/em>.<\/p>\n<p>Es decir, atendiendo a la normativa citada y los pronunciamientos de la <strong>AEPD<\/strong> es preciso tener en cuenta lo siguiente:<\/p>\n<ul>\n<li>Los empleados y terceros deber\u00e1n ser informados de la existencia de canales de denuncia y sistemas de informaci\u00f3n.<\/li>\n<li>El acceso a los datos contenidos en estos sistemas ser\u00e1 de acceso exclusivo del Compliance Officer y\/o aquellos que desempe\u00f1en funciones de control interno dentro del negocio.<\/li>\n<li>Se establecer\u00e1 un procedimiento garantista y confidencial que no exponga innecesariamente a las personas involucradas. Ello incluir\u00e1 la adopci\u00f3n de medidas pertinentes para preservar la identidad y minimizar el tratamiento de los datos personales de las personas afectadas<\/li>\n<\/ul>\n<p><a href=\"#_ednref1\" name=\"_edn1\">[i]<\/a> EUROPEAN DATA PROTECTION SUPERVISOR, <em>Whistleblowing<\/em>, Recuperado en: https:\/\/edps.europa.eu\/data-protection\/our-work\/subjects\/whistleblowing_en?page=1, consultado el 21\/09\/\/2020.<\/p>\n<p><a href=\"#_ednref2\" name=\"_edn2\">[ii]<\/a> REYES HERREROS, Juan y ARL\u00c1 CAPDEVILA, Mar\u00eda; \u201cLa protecci\u00f3n de los whistleblowers en el \u00e1mbito del Derecho Laboral\u201d, Fiscal &amp; Laboral al d\u00eda, n.\u00ba 265, 2018, p. 96-101.<\/p>\n<p><a href=\"#_ednref3\" name=\"_edn3\">[iii]<\/a> Una lista pormenorizada de normativa y comentarios sobre este tema podemos encontrarlo en CAPE\u00c1NS AMENEDO, Catarina; <em>Derecho del Trabajo y Nuevas tecnolog\u00edas, Conflicto entre las tecnolog\u00edas de informaci\u00f3n y comunicaci\u00f3n y el derecho a la intimidad y propia imagen<\/em>, 1\u00aa edici\u00f3n, Colex 2020, p. 39-40.<\/p>\n<p><a href=\"#_ednref4\" name=\"_edn4\">[iv]<\/a> MART\u00cdNEZ SALDA\u00d1A, David; MORENO LUCENILLA, Ignacio; \u201cLa protecci\u00f3n del whistleblower y el compliance laboral\u201d en Revista de Informaci\u00f3n Laboral n\u00ba 12\/2018, editorial Aranzadi.<\/p>\n<p><a href=\"#_ednref5\" name=\"_edn5\">[v]<\/a> Al respecto, el art. 24 LOPDGDD admite la posibilidad de presentar denuncias an\u00f3nimas, pero ha de tenerse presente el criterio mantenido por el Grupo del art\u00edculo 29. En todo caso la confidencialidad debe quedar resguardada estableci\u00e9ndose como regla general la confidencialidad de los datos personales del denunciante.<\/p>\n<h2><b>\u00bfQuieres especializarte en Direcci\u00f3n de Compliance y protecci\u00f3n de datos?<\/b><\/h2>\n<p>El<strong><a href=\"https:\/\/eiposgrados.com\/master-direccion-compliance-y-proteccion-de-datos\/\">\u00a0M\u00e1ster en Direcci\u00f3n de Compliance &amp; Protecci\u00f3n de datos\u00a0<\/a><\/strong>te convertir\u00e1 en un\u00a0<strong>profesional de alta cualificaci\u00f3n<\/strong>\u00a0con las competencias necesarias para realizar tareas especializadas en dos de las \u00e1reas m\u00e1s relevantes tanto para\u00a0<strong>empresas privadas<\/strong>\u00a0como para\u00a0<strong>administraciones p\u00fablicas<\/strong>: la protecci\u00f3n de datos y el cumplimiento normativo o Compliance.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>whistleblowing and data protection. Whistleblowing is an Anglo-Saxon term associated with the formulation of complaints through a specific channel by a worker who has witnessed or has knowledge of the commission of an alleged crime in his or her workplace.<\/p>","protected":false},"author":56,"featured_media":17537,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[330],"tags":[],"class_list":["post-17535","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-dpo"],"acf":[],"_links":{"self":[{"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/posts\/17535","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/users\/56"}],"replies":[{"embeddable":true,"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/comments?post=17535"}],"version-history":[{"count":0,"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/posts\/17535\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/media\/17537"}],"wp:attachment":[{"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/media?parent=17535"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/categories?post=17535"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/tags?post=17535"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}