Sistemas internos en las empresas de denuncias, Whistleblowing

Algunas empresas, en especial las que cuentan con más de 50 trabajadores en plantilla, ponen a disposición de sus empleados un sistemas de denuncia interno (buzones de denuncias físicos y online), también denominado Whistleblowing, con el fin de facilitar la comunicación a la dirección de la empresa de actos delictivos, incidencias, irregularidades, pero esta vía de comunicación interna ¿Cómo debe aplicarse y gestionarse en la empresa para que cumpla las directrices en protección de datos dentro del marco y aplicación laboral dónde se desarrolla? Es importante que las denuncias tengan una efectiva implicación en la relación entre la empresa y el denunciado.

Aunque la implantación y tratamiento de estos sistemas en la compañía está legitimado por el propio interés público (Art. 61e) del RGPD la empresa debe cumplir con los requisitos básicos marcados por la normativa en protección de datos.

Cumplir con el deber de Información, todos los empleados deberán ser informados por la empresa de forma directa y previamente a la implantación del sistema de denuncias interno sobre su existencia, el tipo de tratamiento de los datos que conlleva la formulación de una denuncia y el proceso y seguimiento de estas.  Además en caso que la información facilitada en el sistema tenga que se transferida a un tercero para la comprobación e investigación del hecho o a empresas del grupo de forma internacional, estos hechos deberán ser comunicados e informados tanto al denunciante como al denunciado.

La información que la empresa obtenga a través de los canales de denuncia internos, no podrá bajo ningún concepto ser utilizada con fines distintos a la gestión del sistema.

Mantener la confidencialidad sobre la identidad e información facilitada del denunciante y/o denunciado, cabe la posibilidad que algunos canales permitan las denuncias anónimas, pero si no es el caso es totalmente imprescindible establecer las medidas de seguridad necesaria para impedir cualquier tipo de fuga de información o pérdida de confidencialidad sobre el hecho y sus implicados.

El tiempo de almacenamiento de los datos será únicamente por el tiempo necesario para la investigación de los hechos, pero los los datos no pueden conservarse en el propio sistema de información de denuncias internas más allá de los 3 meses desde su introducción.

El acceso a los datos se llevará a cabo únicamente por la persona designada y autorizada por la empresa para el control interno del sistema de denuncias o al encargado del tratamiento que se designen a tal efecto y el personal de recursos humanos sólo podrá acceder a dichos datos en caso de procedimientos disciplinarios contra una persona trabajadora.

El denunciado podrá ejercer ante la empresa sus derechos de acceso, rectificación, supresión y oposición sin que ello implique revelar la identidad del denunciante, pudiendo conocer cuanto antes el hecho que se le imputa para defender debidamente sus intereses.