Canal de denuncias internas o canal ético


Manuel Castilleja Toscano     11/03/2021

Los canales de denuncia interna o canales éticos son mecanismos a través de los cuales se canalizan las denuncias o quejas de hechos o acciones que pueden constituir infracciones de las leyes o de la normativa interna (código ético) de organizaciones públicas o privadas, por sus empleados y/o los agentes relacionados con su actividad, como puedan ser proveedores, clientes, colaboradores, contratistas, subcontratistas, etc.

En cuanto a la obligación de establecer estos canales de denuncia interna, la Directiva (UE) 2019/1937, en el artículo 8.1, contempla que los Estados miembros velarán por que las entidades jurídicas de los sectores privado y público establezcan estos mecanismos, previa consulta a los interlocutores sociales y de acuerdo con ellos, cuando así lo establezca el Derecho nacional. En el apartado 3 del mismo precepto indica que se aplicará a las entidades jurídicas del sector privado cuando tengan 50 o más trabajadores.

La creación, mantenimiento y gestión de estos canales de denuncia supone un tratamiento de datos personales, por lo dicha actividad deberá adaptarse al Reglamento (UE) 2016/679 (GDPR) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), ya que así lo dispone la propia Directiva (UE) 2019/1937 en su artículo 17.

El mismo precepto de la directiva, en consonancia con los principios relativos al tratamiento regulados por el GDPR en su artículo 5, establece que no se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una denuncia específica o, si se recopilan por accidente, se eliminarán sin dilación indebida.

Al implicar la creación, mantenimiento y gestión de estos canales de denuncias un tratamiento de datos personales se deberá incluir en su Registro de Actividades de Tratamiento (RAT) conforme a lo estipulado en el artículo 30 del GDPR.

La LOPDGDD regula específicamente en su artículo 24 el tratamiento de datos personales que implican estos canales de denuncias internas. Este artículo, además de permitir expresamente la denuncia anónima, también aclara explícitamente las siguientes cuestiones aplicables tanto en entidades privadas como en Administraciones Públicas, sobre los canales de denuncia:

  • La legitimación del tratamiento la establece la LOPDGDD en su Preámbulo, y proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del GDPR.
  • La obligación de informar previamente a los empleados y terceros sobre su existencia, de esta forma se facilitará y promoverá el uso de los mismos.
  • El carácter restringido de la información contenida en ellos, limitándolo a quienes, desarrollen las funciones de control interno y de cumplimiento, o a las entidades externas (encargados del tratamiento) que eventualmente se designen a tal efecto, esto último supone la posibilidad de que se pueda externalizar por las organizaciones la gestión de los canales de denuncia. Se permitirá el acceso a otras personas cuando resulte necesario para la adopción de medidas disciplinarias (en este caso solo al personal con funciones de gestión y control de recursos humanos), o para la tramitación de los procedimientos judiciales.
  • Cuando los hechos sean constitutivos de ilícito penal o administrativo, los datos obtenidos a través del sistema de denuncias internas podrán ser comunicados a la autoridad competente.
  • La obligación de adoptar las medidas de seguridad necesarias para garantizar la confidencialidad de la identidad de denunciantes y también de los denunciados. Habrá que tener especial atención con las posibles denuncias falsas que pueden afectar la reputación de una persona.
  • La conservación durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados y en general 3 meses desde que se denuncia, salvo que la conservación de dichos datos sea necesaria para evidenciar el buen funcionamiento del modelo de prevención de la comisión de delitos.
    La anonimización de las denuncias no tramitadas sin que sea necesario el previo “bloqueo” establecido en el art. 32 de la LOPDGDD como paso previo a la supresión de los datos personales.
    Los datos podrán seguir siendo tratados, por el órgano competente, para investigar los hechos denunciados, no conservándose en el sistema de información de denuncias internas.

Por tanto, podemos concluir sobre los canales de denuncia, que además de ser lícita su creación, mantenimiento y gestión, y permitir las denuncias anónimas, deben ser conocidos por empleados y terceros relacionados con la entidad (stakeholders); deben garantizar la confidencialidad; no conservar datos personales más tiempo del imprescindible (tres meses); anonimizar denuncias no cursadas, y si es necesario conservar los datos porque se ha iniciado una investigación, hacerlo fuera del propio canal.