AEPD

4
Jun

Notas sobre la Memoria 2019 de la AEPD

La AEPD ha publicado su Memoria correspondiente al año 2019, la primera que recoge las actividades de la Agencia que incluye un año completo de aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD). En la Memoria se hace referencia a varios ámbitos de actuación de la Agencia, como el número de reclamaciones, el motivo de las mismas, los tiempos de resolución, casos transfronterizos o notificaciones de quiebras de seguridad.

Durante el año 2019 se presentaron ante la Agencia 11.590 reclamaciones, lo que supone un regreso a la normalidad, tras el incremento de un 33% del año 2018, siendo las reclamaciones más comunes las relativas a servicios de internet, videovigilancia, inserción indebida en ficheros de morosidad, reclamación de deudas y publicidad.

Los traslados, el procedimiento por el que el RGPD y la LOPDGDD pretender facilitar la resolución amistosa de estas reclamaciones ha crecido un 147% hasta los 5.691, elemento que más que probablemente haya influido en la reducción del tiempo medio de resolución de los procedimientos sancionadores en casi un tercio. De estas reclamaciones, la Agencia ha dictado 338 resoluciones sancionadoras, la mayoría de las mismas relativas a videovigilancia (287), servicios de internet, publicidad a través de correo electrónico o teléfono móvil, telecomunicaciones y Administración Pública.

Destaca la AEPD el importante papel desempeñado por la figura del Delegado de Protección de Datos como mecanismo para la resolución extrajudicial de reclamaciones evitando la iniciación de actuaciones de investigación de la Agencia que pueden dar lugar a procedimientos sancionadores.

Otro elemento que recoge la Memoria 2019 son los casos transfronterizos. La nueva normativa europea permite a los ciudadanos presentar reclamaciones ante cualquier autoridad de protección de datos europea, que debe dar traslado a las autoridades competentes para que sean atendidas, lo que ha permitido que éstas aumenten en un 33% durante el año 2019.

Uno de los elementos más importantes de la normativa relativa a la protección de datos es la obligación de notificar las brechas de seguridad, obligación que ha provocado que estas notificaciones se hayan triplicado de un año a otro. Las notificaciones son recibidas por la Unidad de Estudios y Evaluación Tecnológicos (UEET), que las analiza y valora si debe trasladar la quiebra a la Subdirección General de Inspección de Datos, que es quien las investiga y analiza. Tan sólo se han comunicado a esta subdirección el 5% de estas quiebras.

Otro de los aspectos más relevantes recogidos por la Memoria 2019 es el relativo al Canal prioritario para solicitar la eliminación urgente de contenidos violentos o sexuales en internet, que coloca a la AEPD como la única agencia europea de protección de datos que ofrece este servicio, que durante 2019 recogió 18 órdenes de medida provisional urgente, retirándose de forma definitiva el contenido original de la página o red social en todos los casos.

En el Canal Joven de la Agencia, que se ocupa de temáticas como publicación de imágenes de menores en redes sociales por parte de padres separados, consentimiento de los padres para la publicación de imágenes en webs de los colegios o RRSS, videovigilancia en los colegios o grabación de imágenes en eventos escolares, se han recibido 1.502 cuestiones.

Por último, debemos hacer mención a los datos que la Memoria aporta sobre las herramientas puestas a disposición por la AEPD, Facilita RGPD, utilizada por más de 800.000 pymes y autónomos, y Gestiona RGPD, lanzada en junio de 2019 y utilizada en casi 3.000 ocasiones.

Puede accederse a la Memoria 2019 completa aquí.

17
Abr

Los canales de denuncia interna o whistleblowing

¿ES POSIBLE EN ESPAÑA IMPLANTAR CANALES DE DENUNCIA ANÓNIMOS PARA EL CUMPLIMIENTO DE POLÍTICAS DE RESPONSABILIDAD PENAL CORPORATIVA?

Actualmente, los denominados canales de denuncia interna (en inglés, whistleblowing) se están poco a poco implantando en las empresas como elementos fundamentales para el cumplimiento de las políticas de responsabilidad penal corporativa. Su inclusión en los programas de compliance permiten a la empresa eximirse de responsabilidad penal por los delitos cometidos por su personal en beneficio de la empresa. De esta manera, la posibilidad de comunicar o denunciar por empleados o terceros los hechos ilícitos realizados por otros compañeros o trabajadores de la empresa, deviene como un elemento clave en las políticas de responsabilidad penal corporativa.

Uno de los grandes problemas que se ha suscitado alrededor de estos instrumentos, incluso con aparentes contradicciones en el panorama institucional, es acerca de la admisibilidad de denuncias que no provengan de una fuente identificada, es decir, denuncias de carácter anónimo.

La Agencia Española de Protección de Datos se pronunció acerca de la cuestión en su Informe jurídico 128/2007 y, sorprendentemente y en contra del Dictamen del Grupo de Trabajo del art. 29 (al que haremos mención), se muestra partidaria de un sistema donde únicamente se admitan denuncias identificadas, es decir, una aparente prohibición de estimar y considerar estudiar e investigar denuncias que procedan de fuente anónima, ya que, bajo sus palabras, ello “no perjudicaría la operatividad del sistema, al deber quedar claramente planteada la conclusión de que los datos del denunciante en modo alguno podrían ser transmitidos al denunciado con ocasión del ejercicio del derecho de acceso”.

Desde este momento, la AEPD marcó su disconformidad con el criterio seguido por el Grupo de Trabajo del art. 29 en el Dictamen 1/2006 en relación a la protección de datos en los sistemas internos de denuncias de irregularidades (publicado en febrero de 2006). En esta resolución, el grupo se postula a favor de la configuración de los canales de denuncia interna bajo la posición de la identificación de los denunciantes y la absoluta garantía de confidencialidad que sobre esos datos habría de aplicarse. Como punto en común, queda absolutamente claro que ambas instituciones se muestran partidarias de que el sistema de denuncias internas sea configurado para que las misivas vengan identificadas. No obstante, es claramente discernible la divergencia de opiniones en cuanto a la admisibilidad de denuncias de carácter anónimo.

El GT29, en un tono ciertamente más realista y acorde al funcionamiento empresarial actual, reconoce que las denuncias anónimas son una realidad y que no pueden ser rechazadas de pleno como modus operandi general del responsable del sistema de denuncias. Ello no obsta, para que sobre la presentación de denuncias anónimas no deba aplicarse una debida precaución, enfocada enfoca en el examen de la entidad de los hechos denunciados en aras de valorar la conveniencia de su investigación. Esta precaución implicará que los hechos denunciados deberán tenerse en consideración en función de los efectos adversos que su veracidad pueda representar, sin perder de vista el hecho de su presentación por persona no identificada. Como proyección de la debida cautela que ha de guardarse con las denuncias anónimas, debemos tener en cuenta una serie de criterios y actuaciones del responsable que deben influir a la hora de evaluar la denuncia:

  1. En primer lugar y como requisito imprescindible, deben cumplirse una serie de especificaciones de carácter general aplicables a todo canal de denuncias, tales como: suficiente divulgación del sistema y debida información a los trabajadores (en correlación con el art. 64 del Estatuto de los Trabajadores); facilidad de acceso al sistema; proporcionalidad a la hora de estimar la admisión e investigación de las denuncias; documentación suficiente del sistema, así como catalogación de los comportamientos que se consideran irregulares y las consecuencias de su incumplimiento, en estricta relación con las normas legales y reglamentarias aplicables y otros documentos internos de normas éticas en el entorno de la empresa y garantía por parte del responsable del canal de que no existirán represalias contra los denunciantes.
  1. El canal de denuncias ha de verse respaldado por la dirección de la empresa o entidad creadora, así como configurarse de tal modo que no se fomente la denuncia anónima. Ello podría cumplirse si, por ejemplo, la empresa no anuncia que el sistema admite estas denuncias.
  1. Es importante que la persona(s) u órganos encargados del canal de denuncias informen al denunciante acerca de la protección y confidencialidad de su información personal durante todas las etapas del proceso e incluso a la conclusión del mismo. En añadido, estos datos deberán ser cancelados en un plazo razonable, el cual se viene entendiendo como dos meses tras la conclusión de la investigación. Si a pesar de las informaciones acerca de la confidencialidad ofrecida, el denunciante desea mantener el anonimato, la denuncia podría admitirse en base a más criterios aquí enunciados.
  1. Una consideración de buena práctica sería elaborar un catálogo interno, solo conocido por el responsable del buzón, de qué clase de denuncias anónimas podrían llegar a admitirse, por afectar a materias más sensibles para la empresa (como actos de comunicación de secretos comerciales, fraudes a la empresa de importante cuantía…). Si bien es importante que esta clase de catálogos no fueran conocidos por los sujetos afectados a posibles denuncias en el canal.
  1. Del mismo modo, una investigación fraccionada en dos momentos claramente diferenciables sería una prueba de la debida precaución a adoptar ante denuncias anónimas. En primer lugar, podría llevarse una primera investigación desde una perspectiva más limitada y confidencial para observar indicios de la posible comisión de la infracción, para luego, en caso de obtener pruebas indiciarias suficientes, llevar a cabo una investigación exhaustiva y obtener aquellas pruebas que permitan enjuiciar la culpabilidad o inocencia del denunciado respecto de los hechos comunicados y supuestamente ilícitos.
  1. En último lugar, un importante refuerzo para la “legalidad interna” de las denuncias anónimas consistiría en el establecimiento por parte de la dirección y organización del canal de modo interno que las denuncias anónimas podrían servir –atendiendo a los criterios aquí reseñados- como medio de investigación siempre que no accedan como prueba de cargo a un futurible proceso penal, laboral ante instancias administrativas o judiciales, sin perjuicio de que otros medios probatorios obtenidos de una hipotética investigación y que acrediten el incumplimiento denunciado anónimamente sí puedan tener este valor probatorios en tales procesos administrativos o judiciales.

Resulta importante señalar que, en la práctica judicial, ya se ha admitido el despido procedente de un empleado que engañó a la dirección de recursos humanos solicitando una excedencia especial para “cuidar a familiares octogenarios” empleando ese tiempo, en realidad, en un ingreso en prisión al que había sido condenado (véase la STSJ Canarias, Sala de lo Social, nº 552/2016, de 22/06/2016). Gracias a una denuncia anónima en el Buzón Ético de su empresa, pudo iniciarse una investigación que efectivamente cumplió en las cautelas anteriormente reflejadas: transmisión de la denuncia confidencialmente a determinados órganos empresariales cumpliendo el protocolo de investigación del sistema, reuniones informativas con el denunciado, en pro de estimar una aparente veracidad de los hechos. Es decir, se toman las debidas cautelas para obtener pruebas indiciarias o con carácter más concluyente de que ha podido existir infracción para luego realizar una investigación más exhaustiva incoando expediente al trabajador para la averiguación del alcance de los hechos y, por ende, poder depurar la posible culpabilidad o inocencia del denunciado.

Con esta sentencia, se pone de manifiesto que el criterio mantenido por la AEPD de no estimar ni admitir denuncias anónimas no supone vulnerar el derecho a la protección de datos a la hora de ejecutar medidas disciplinarias sobre circunstancias averiguadas agracias a una denuncia no identificada. El punto clave se hallará, entonces, en la debida cautela y precaución a seguir por los órganos empresariales encargados de la investigación y las posibilidades de defensa que se le permitan al denunciado de aportar aquello que demuestre lo infundado de las sospechas.

 

Carlos de Jorge Pérez

Abogado DPO&itlaw, S.L.

t. @carlosdejp1

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies