AEPD evalúa la conformidad de un sistema de denuncias internas en empresas con la Ley Orgánica de Protección de Datos

El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad de un sistema de denuncias internas («whistleblowing») en una empresa con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Este sistema permite a los empleados denunciar comportamientos, acciones o hechos que violen normas internas o legales, garantizando la confidencialidad del denunciante y la información al denunciado.

### Características del Sistema

1. **Alcance y Participantes**: Todos los empleados pueden ser denunciantes o denunciados. Se informará a los empleados sobre la existencia y finalidad del sistema, así como sobre la confidencialidad de los datos del denunciante.
2. **Procedimiento**: Las denuncias se pueden realizar por teléfono o de manera presencial. Solo el responsable de «compliance counter» y las personas necesarias para investigar tendrán acceso a los datos.
3. **Datos y Conservación**: El sistema registrará datos del denunciante, denunciado, hechos denunciados y resultados de las investigaciones. Los datos se cancelarán en dos meses si los hechos no se prueban, o se conservarán durante el tiempo necesario para acciones legales.
4. **Medidas de Seguridad**: Se implantarán medidas de seguridad de nivel básico, aunque se sugiere considerar medidas de nivel alto debido a la sensibilidad de los datos.
5. **Transferencia Internacional**: Se prevé la transferencia de datos a Reino Unido y Japón, requiriendo autorización para Japón debido a su nivel de protección de datos.

### Consideraciones Legales

1. **Legitimación del Tratamiento**: La AEPD analiza si el tratamiento de datos está legitimado por la Ley Orgánica 15/1999. Se considera que el tratamiento puede estar amparado si se centra en denuncias que afecten directamente la relación contractual entre la empresa y el empleado.
2. **Principios de Exactitud y Conservación**: Los datos deben ser exactos y actualizados. Se recomienda evitar denuncias anónimas para garantizar la exactitud de la información.
3. **Derechos de los Afectados**: El sistema debe garantizar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición. El denunciado debe ser informado de los hechos denunciados y sus derechos.
4. **Medidas de Seguridad**: Se sugiere implantar medidas de seguridad de nivel alto debido a la sensibilidad de los datos y el riesgo de estigmatización del denunciado.
5. **Notificación y Autorización**: Es necesario notificar el tratamiento al Registro General de Protección de Datos y solicitar autorización para la transferencia internacional de datos a Japón.

### Conclusiones

El informe concluye que el sistema de denuncias debe ajustarse a la Ley Orgánica 15/1999, concretando los supuestos de denuncia, garantizando la confidencialidad del denunciante y la información al denunciado, y adoptando medidas de seguridad adecuadas. Además, se debe notificar el tratamiento y solicitar la autorización necesaria para la transferencia internacional de datos.

Deja un comentario

Responsable: PRIVTOOLS. Finalidad de la recogida y tratamiento de los datos personales: gestionar la aceptación y publicación de tu comentario en esta página. Legitimación: Necesario para publicar y gestionar los comentarios. Datos: Nombre, email y un fragmento de la dirección IP. Destinatarios: Los datos no serán cedidos salvo obligación legal. Transferencias internacionales no están previstas. Derechos: podrás acceder, rectificar, limitar y suprimir tus datos escribiéndome a daniel(at)privtools.eu, así como presentar una reclamación ante una autoridad de control.