ComparteShare on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someonePrint this page

El cumplimiento normativo (conocido como «Compliance») hace referencia a las normas que han de establecer las organizaciones tales como guías de mejores prácticas, Códigos Éticos, medidas anticorrupción, planes de prevención de riesgos en el lugar de trabajo, de delitos, protección de datos, blanqueo de capitales, etc.) para prevenir y evitar conductas ilícitas.

En el marco de esta figura, un hito fundamental se produjo con el reconocimiento expreso de la responsabilidad penal de las personas jurídicas, a raíz de la entrada en vigor de la Ley Orgánica 5/2010. Posteriormente, la Ley Orgánica 1/2015 de 30 de marzo modificó el Código Penal y detalló la misma «con la finalidad de delimitar adecuadamente el contenido del «debido control», cuyo quebrantamiento permite fundamentar su responsabilidad penal». Aparece regulada en el art. 31 del Cp.

Por último, la Circular 1/2016 sobre la responsabilidad penal de las personas jurídicas otorgó instrucciones a los fiscales para valorar la eficacia de los planes de cumplimiento normativo penal.

Pues bien, de entre las medidas a adoptar en un programa de Compliance o prevención de delitos, destaca la obligación de articular un canal de denuncia o «whistleblowing» para la comunicación de riesgos y posibles incumplimientos. Este “Canal Ético” permitiría a las empresas investigar los hechos, implantar las pertinentes medidas correctoras y aplicar las sanciones correspondientes, evitando así la comisión de delitos.

El problema que se plantea es si estos canales de denuncia con las finalidades apuntadas cumplen con la Ley Orgánica de Protección de Datos.

La Agencia, en un primer momento, emitió el Informe jurídico 128/2007, en el que señalaba en primer lugar que era necesario que existiese conocimiento de estos canales por parte de las personas cuyos datos pudieran ser tratados, y que dicho tratamiento de datos formaría parte de aquellos necesarios para el desarrollo y control de la relación contractual. Por tanto, la Agencia avalaba el establecimiento de los canales de denuncia, siempre que se cumplieran el resto de requisitos marcados en la Ley Orgánica de Protección de Datos de Carácter personal, entre ellos las medidas de seguridad correspondientes al nivel alto.

Sin embargo, la AEPD añadía que, si bien las denuncias y todo el proceso debería ser estrictamente confidencial, las denuncias no podrían ser anónimas:deberá exigirse que el sistema únicamente acepte la inclusión de denuncias en que aparezca identificado el denunciante, sin perjuicio de las salvaguardas que se han señalado para garantizar la confidencialidad de sus datos de carácter personal, no bastando el establecimiento de un primer filtro de confidencialidad y una posible alegación última del anonimato para el funcionamiento del sistema”.

Llegados a este punto, la solución parece venir dela figura del socorrido Encargado de Tratamiento:

La AEPD, en la 7ª sesión anual, contestó a esta cuestión del anonimato del delator señalando que, a pesar de que la Agencia ha indicado que las denuncias deben tener un carácter confidencial y no anónimo, “cabría la contratación de un encargado del tratamiento que conservase los datos identificativos de los denunciantes sin comunicarlos en ningún caso a la empresa.”

En cualquier caso se trata solo de la contestación a una consulta en el marco de la jornada de puertas abiertas de la Agencia, por lo que habrá que esperar a futuros pronunciamientos, así como a la entrada en vigor del Reglamento Europeo de Protección de Datos y su aplicación en España.

RelatedPost