Los canales de denuncia interna o canales éticos, son mecanismos a través de los cuales se canalizan las denuncias o quejas de hechos o acciones que pueden constituir infracciones de las leyes o de la normativa interna (código ético) de organizaciones públicas o privadas, por sus empleados y/o los agentes relacionados con su actividad, como puedan ser proveedores, clientes, colaboradores, contratistas, subcontratistas, etc.
En cuanto a la obligación de establecer estos canales de denuncia interna, la Directiva (UE) 2019/1937, en el primer apartado de su artículo 8 contempla que los Estados miembros velarán por que las entidades jurídicas de los sectores privado y público establezcan estos mecanismos, previa consulta a los interlocutores sociales y de acuerdo con ellos cuando así lo establezca el Derecho nacional. En el apartado 3 del mismo precepto indica que el apartado 1 se aplicará a las entidades jurídicas del sector privado cuando tengan 50 ó más trabajadores.
La creación, mantenimiento y gestión de estos canales de denuncia supone un tratamiento de datos personales, por lo que habrá que estar a lo establecido en la normativa, Reglamento (UE) 2016/679 (GDPR), y en nuestro país la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), así lo estipula la propia Directiva (UE) 2019/1937 en su artículo 17.
El mismo precepto de la directiva, en consonancia con los principios relativos al tratamiento regulados por el GDPR en su artículo 5, establece que no se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una denuncia específica o, si se recopilan por accidente, se eliminarán sin dilación indebida.
Al implicar la creación, mantenimiento y gestión de estos canales de denuncias un tratamiento de datos personales se deberá incluir en el Registro de Actividades de Tratamiento (RAT) conforme a lo estipulado en el artículo 30 del GDPR.
En su momento el Grupo de Trabajo del artículo 29 (GT29), hoy desaparecido y sustituidas sus funciones por el Comité Europeo de Protección de Datos (CEPD/EDPB), emitió un informe sobre los canales de denuncias y en concreto insistía en la necesidad de garantizar la confidencialidad de los datos personales tanto de denunciante como de denunciado y de la propia investigación. Residualmente y como último recurso, admitía la posibilidad de que la denuncia fuera anónima cuando fuera imposible garantizar dicha confidencialidad.
Pero dicho informe del GT29 sin carácter vinculante para los estados miembros, encontró en la Agencia Española de Protección de Datos (AEPD) una objeción sobre el posible anonimato, considerándolo contrario a la propia normativa.
La AEPD entendía que las empresas debían evitar las denuncias anónimas, para garantizar la exactitud e integridad de la información contenida en sus sistemas de canales internos de denuncias (Informe jurídico 128/2007), por tanto, solo admitía la licitud de las denuncias internas en las que apareciera identificado el denunciante.
La entrada en vigor del GDPR supuso una unificación de criterios, y en nuestro país la LOPDGDD regula específicamente en su artículo 24 el tratamiento de datos personales que implican estos canales de denuncias internas, apartándose en el punto primero de dicho precepto del criterio mantenido hasta la fecha por la AEPD, permitiendo denunciar anónimamente.
En este mismo sentido se pronunció también la Sala de lo Penal del Tribunal Supremo, en sentencia de 17 de febrero de 2020, en la que valida la denuncia anónima para descubrir fraudes en las empresas.
El artículo 24 de la LOPDGDD además de permitir expresamente la denuncia anónima, también aclara explícitamente las siguientes cuestiones sobre los canales de denuncia:
- La licitud de los mismos. La legitimación del tratamiento de datos personales la establece la LOPDGDD en su Preámbulo, y proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del GDPR.
- La obligación por parte de la entidad de informar previamente a los empleados y terceros sobre su existencia, de esta forma se facilitará y promoverá el uso de los mismos.
- El carácter restringido de la información contenida en ellos, limitándolo a quienes, desarrollen las funciones de control interno y de cumplimiento, o a las entidades externas (encargados del tratamiento) que eventualmente se designen a tal efecto, esto último supone la posibilidad de que se pueda externalizar por las organizaciones la gestión de los canales de denuncia. Se permitirá el acceso a otras personas cuando resulte necesario para la adopción de medidas disciplinarias (en este caso solo al personal con funciones de gestión y control de recursos humanos), o para la tramitación de los procedimientos judiciales.
Los datos obtenidos a través del sistema de denuncias internas podrán ser comunicados a la autoridad competente de hechos constitutivos de ilícito penal o administrativo. - La obligación de adoptar las medidas de seguridad necesarias para garantizar la
confidencialidad de la identidad de denunciantes y también de denunciados. Habrá que tener especial atención con las posibles denuncias falsas que pueden afectar la reputación de una persona. - La conservación durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados y en general tres meses desde que se denuncia, salvo que la conservación de dichos datos sea necesaria para evidenciar el buen funcionamiento del modelo de prevención de la comisión de delitos.
La anonimización de las denuncias no tramitadas sin que sea necesario el previo “bloqueo” establecido en el art. 32 de la LOPDGDD como paso previo a la supresión de los datos personales.
Los datos podrán seguir siendo tratados, por el órgano competente, para investigar los hechos denunciados, no conservándose en el sistema de información de denuncias internas. - Estas cuestiones son igualmente aplicables a los sistemas de denuncias internas que pudieran crearse en las Administraciones Públicas.
Por tanto podemos concluir sobre los canales de denuncia, que además de ser lícita su creación, mantenimiento y gestión, y permitir las denuncias anónimas, deben ser conocidos por empleados y terceros relacionados con la entidad; deben garantizar la confidencialidad, no conservar datos personales más tiempo del imprescindible (tres meses), anonimizar denuncias no cursadas, y si es necesario conservar los datos porque se ha iniciado una investigación, hacerlo fuera del propio canal.