Los canales de denuncia se han presentado en los últimos años como garantía esencial para la pronta detección de riesgos en cualquier tipo de modelo de prevención o control interno. Sin embargo, la preocupación creciente por la protección de datos había supuesto un obstáculo en su desarrollo. Ahora parece que la legislación podrá darles un impulso.

canales de denuncia

El pasado día 8 de enero, la CNMV se unió al numeroso grupo de entidades públicas y privadas que cuentan con un canal de denuncias para la comunicación de posibles infracciones. El caso mencionado del mercado de capitales no es el único, pues prácticamente todos los textos reglamentarios recientes, tales como los relativos a la Prevención del Blanqueo de Capitales, o los modelos de control interno de referencia (COSO 2013, UNE 19601, ISO 37001,…), contemplan estas vías internas de comunicación. Incluso en el ámbito del Compliance Penal, el Código Penal reconoció en 2015 el deber de imponer  “la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.”

La esencia de los canales de denuncia es contar con la colaboración por parte del personal de la entidad o colaboradores cercanos para la identificación de riesgos. Sin embargo, ésta participación solamente puede aprovecharse, si se garantiza la confidencialidad y la protección de los datos de los usuarios, es decir, tanto de los denunciantes como de los denunciados. Y es en este punto donde se encontraba la controversia de la pregunta: anonimato, ¿sí o no?

En este sentido, la AEPD* en su Informe Jurídico 128/2007 planteaba una significativa traba a la gestión de posibles denuncias que no incluyesen la identidad del denunciante, ya que se recomendaba evitar el anonimato como opción para la comunicación por el canal de denuncias. La AEPD alegaba que resultaba imposible la protección de los datos del denunciante sin conocer los mismos, y que tampoco se podría garantizar la prevención de represalias; aspectos de protección en los que también hacía hincapié la Fiscalía General del Estado en su Circular 1/2016 sobre los Modelos de Compliance Penal.

Evidentemente, en una cultura como la que solemos encontrar en España donde el “whistleblowing” está todavía considerado más un “chivatazo” que una responsabilidad, la obligación de identificarse en los canales de denuncia podía reducir radicalmente su efectividad. No obstante, el anonimato, desde un punto de vista de organización interna, podría servir de “arma arrojadiza” en conflictos entre el personal, a los cuáles no podrían aplicarse medidas disciplinarias.

Parece que la AEPD ha cambiado de opinión, ya que en el Proyecto de la nueva Ley Orgánica de Protección de Datos se contempla la posibilidad de que las comunicaciones de los canales de denuncia sean anónimos. La institución reconoce la importancia de los Sistemas de información de denuncias internas en el sector privado, como se titula el Artículo 24 del Proyecto de Ley, donde se detalla el derecho de las organizaciones a tener canales de denuncia para informar de actos ilícitos o contrarios a la normativa, incluso de forma anónima. El artículo expone también la necesidad de notificar a los empleados y terceros de la existencia del sistema, así como garantizar que el acceso a los datos que contiene se limite a las personas con funciones de control interno y compliance. Estos datos deberán conservarse el tiempo mínimo necesario para su gestión (en principio, máximo de 3 meses). Por último, resalta de nuevo la importancia de garantizar la confidencialidad de los datos de las personas afectadas por la información suministrada.

A pesar de la dificultad de decidir sobre las ventajas e inconvenientes del anonimato para determinados responsables de control interno o cumplimiento, resulta un alivio que la legislación sobre protección de datos vaya a reconocer esta opción para los canales de denuncia.

*Agencia Española de Protección de Datos

Andrea Duque

Responsable Consultoría de RSC y Buen Gobierno