Hay veces que la realidad profesional me lleva a analizar asuntos que se salen de las ordinarias implantaciones de adecuación a la Ley Orgánica de Protección de Datos (LOPD). Así que, una vez realizado el trabajo, tengo la posibilidad de hacer públicas también las conclusiones que, espero, puedan ayudar a las empresas (y también a las instituciones públicas) que quieran implantar un sistema interna de denuncias de comportamientos ilícitos o contrarios a códigos éticos, llevados a cabo por trabajadores de una entidad.

Para que este sistema, denominado técnicamente «whistleblowing«, es necesario que el mismo responda a una serie de características, sin las cuales carece de validez legal alguna y hasta podría llevar a una eventual denuncia ante la Agencia Española de Protección de Datos, por violación de la LOPD.

Para empezar, tal y como se indica en un estudio de la AEPD de 2007, no se podrán admitir denuncias anónimas. Además, no todo comportamiento es «denunciable», sino sólo aquello que constituya una violación de las normas contractuales vigentes entre la empresa y el trabajador, así como los compromisos asumidos expresamente por los trabajadores, a través de la aceptación de eventuales «códigos éticos» internos.

Eso quiere decir que el sistema de Whistleblowing debe ser conocido y aceptado expresamente (dentro del contrato laboral) por parte de los trabajadores. Eso quiere decir, además, que también los comportamientos denunciables deben ser tipificados.

De esta forma, los trabajadores también conocerán de la existencia de este sistema interno de denuncias, cómo funciona, qué departamento puede llevar a cabo las investigaciones, en cuánto tiempo y qué derechos asisten tanto al denunciante como al denunciado.

¿Y quién tiene acceso a tan reservada información? Según el Informe del Grupo del Artículo 29, sólo accederán el «compliance counter» y las personas para las que resulte imprescindible participar en la investigación de los hechos denunciados.

El denunciado (o los denunciados) deberán poder tener acceso, en un plazo no superior a los 3 meses desde la recepción de la denuncia, de los hechos denunciados, de los destinatarios de la información que constituye el expediente, el departamento interno que va a llevar el asunto y, sobre todo, de los derechos que le asisten en materia de Protección de Datos (derecho de acceso, rectificación, oposición y cancelación).

Si la denuncia es archivada, toda la información a ella asociada, deberá ser destruida en un plazo máximo de dos meses. Sin embargo, si la denuncia tiene fundamento, esta información se guardará por el tiempo necesario para la toma de las oportunas medidas de defensa de los intereses legales de la empresa.

Sea o no cancelada toda esta información, está claro que la misma constituye un fichero, según las definiciones previstas en el art. 3.b) LOPD. Por lo tanto, debe ser notificado a la AEPD a través del no siempre funcional (y funcionante) sistema NOTA. Por cierto, por la variada tipología de los datos personales que puedan incorporarse a este fichero, es aconsejable que el nivel de seguridad sea alto.

En definitiva, articular este procedimiento de denuncias de comportamientos delictivos o contrarios a los códigos éticos sí es posible, pero con las debidas precauciones técnicas y legales someramente descritas. Y ahora, que disfruten de esta Semana Santa. Si es en Alicante, mejor.