Canal de Denuncias y la Protección de Datos

¿Qué implicaciones tiene la Protección de datos en el Canal interno de Denuncias?

La activación de un Canal de Denuncias en las empresas, es una práctica cada vez más común y requerida, pues busca fomentar la transparencia, la ética, así como el cumplimiento normativo, a raíz de la entrada en vigor de la Ley 2/2023, de Protección del Denunciante.

Pero es importante tener muy en cuenta que, la activación de un Canal de Denuncias implica tratamiento de datos personales (incluso de categoría especial), por lo que es obligatorio cumplir con la normativa de protección de datos personales, en particular con el RGPD, que es de obligado cumplimiento en toda la Unión Europea y la LOPD-GDD en España.

En este artículo analizaremos cómo cumplir con la Ley de protección de datos en la gestión de un Canal de Denuncias, garantizando tanto la confidencialidad de los denunciantes como la seguridad de la información tratada.

¿Quién puede denunciar?

El Canal de Denuncias permite a cualquier persona, (ej. empleados, proveedores, clientes, candidatos, estudiantes, etc.) informar sobre infracciones administrativas o penales, o cualquier incumplimiento del código ético o régimen interno de cada empresa. Un ejemplo de denuncias podría ser:

  • Delitos contra la propiedad privada (ej. robos)
  • Discriminación o acoso sexual
  • Conflicto de intereses
  • Seguridad y salud en el trabajo
  • Malversación de fondos económicos
  • Corrupción
  • Vulneración de los derechos Laborales

Estas denuncias deben ser correctamente canalizadas, registradas y puestas a disposición de la Autoridad de Control en caso de requerimiento, según establece la Ley 2/2023, de Protección del Denunciante y con motivo de estas denuncias, la activación de un Canal de Denuncias también implicará la recopilación y tratamiento de datos personales (ej. nombre del denunciante o del denunciado).

Principales obligaciones al activar un Canal de Denuncias

Aunque está extendido el pensamiento de que con solo mostrar el Canal de Denuncias en la web, es suficiente, antes de su activación, es obligatoria algunas de las actuaciones siguientes:

  • Acceso sencillo desde la página web principal (art. 25 Ley 2/2023)
  • Elaborar una Política de uso del Canal y de gestión de las denuncias
  • Consulta a la representación legal de las personas trabajadoras (RLT)
  • Designación del Responsable del Canal Interno de Denuncias (ojo que no puede ser cualquiera)
  • Aprobación de un Código Ético corporativo
  • Procedimiento de recepción y registro de las denuncias
  • Acuse de recibido al denunciante, en el plazo legalmente exigido
  • Analizar la admisión o inadmisión de la denuncia según la Ley 2/2023
  • Proceso de investigación
  • Garantizar los derechos de denunciantes (ej. anonimato) y denunciados (ej. presunción de inocencia)
  • Contestación al denunciante con el resultado de la investigación, en el plazo legalmente establecido
  • Entre otras

Principios RGPD aplicados al Canal de Denuncias

Para asegurar que un Canal de Denuncias cumpla con la normativa de protección de datos, es fundamental aplicar varios principios establecidos por el RGPD, los cuales deben constar en la Política de uso del Canal y ser aprobada por el Órgano de Administración de la empresa que lo activa. Estos principios serían, los siguientes:

Confidencialidad

Los datos personales deben ser tratados de manera que se garantice su confidencialidad, mediante la implementación de medidas técnicas y organizativas adecuadas, implicando que la información que identifique a los denunciantes y denunciados, esté protegida en todos los procesos de la gestión de la denuncia.

Licitud, lealtad y Transparencia

El RGPD establece que los datos deben ser tratados de manera legal, leal y transparente, esto significa que los denunciantes deben ser informados, de manera clara y comprensible, sobre cómo se tratarán sus datos personales, los fines de la recogida y los derechos de protección de datos que les asisten, como los contemplados en la Ley de Protección al Informante.

Minimización de Datos

Solo se recogerán aquellos datos estrictamente necesarios para gestionar la denuncia y el acceso a esta estará restringido al Responsable del Canal y a las personas autorizadas.

Supresión de datos

Finalizado el plazo legalmente establecido en la Ley 2/2023, o en el caso de recibir datos de categoría especial, o inveraz, deberá ser destruida de forma segura y confidencial.

Limitación del Plazo de Conservación

El RGPD exige que los datos personales sean conservados solo durante el tiempo necesario para cumplir con la finalidad para la que fueron recogidos y en cualquier caso no se podrá superar los 10 años de plazo legalmente establecido en la Ley 2/2023.

Encargados del tratamiento

En el caso que la gestión o recepción de las denuncias recaiga en una empresa experta en canales de denuncias, este proveedor tendrá la consideración de Encargado del tratamiento y será necesario cumplir con lo establecido en el artículo 28 del RGPD.

No hacerlo correctamente puede ocasionarte una grabe sanción como la sufrida por esta empresa.

Evaluación de Impacto

Con mucha probabilidad el análisis de riesgos previo al tratamiento, de como resultado que el tratamiento de las denuncias, implique un iesgo para los derechos y libertades de denunciantes y denunciados, por lo que será necesario elaborar una Evaluación de Imapacto. 

Business Adadpter® a tu servicio

Te activaremos un Canal de denuncias personalizado, con todas las garantías de funcionamiento exigidas en la Ley 2/2023 y te elaboraremos las Políticas, Nombramientos y toda la documentación a la que tu empresa esté legalmente obligada.

Consúltanos, estaremos encantados de ayudarte
error: Content is protected !!