Sistemas de información de denuncias internas

Fuente de la imagen: coffeebeanworks en pixabay

Una de las novedades de la Ley Orgánica española 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)[1] recientemente publicada lo configura lo relativo a las denuncias anónimas. En el artículo 24 el legislador establece que será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información. 

Apunta el legislador que el acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. No obstante, será lícito su acceso por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan. Sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos. 

Igualmente, deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado. Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados. En todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. 

Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista para el bloqueo de los datos[2]. Transcurrido los tres meses, los datos podrán seguir siendo tratados, por el órgano al que corresponda, conforme a lo legislado respecto a la limitación del acceso a los datos[3], la investigación de los hechos denunciados, no conservándose en el propio sistema de información de denuncias internas. Finalmente, todo lo anterior será aplicable a los sistemas de denuncias internas que pudieran crearse en las Administraciones Públicas. Fuente de la información: BOE. Fuente de la imagen: sxc.hu. Imagen incorporada con posterioridad; fuente: coffeebeanworks en pixabay. 

____________________________

[1] Boletín Oficial del Estado (BOE) núm. 294 de 06/12/2018. 

[2] Art. 32 LOPDGDD. 

[3] Art. 24.2 LOPDGDD.