La possibilitat d’establir un sistema de denúncies anònimes en l’empresa és una pràctica habitual en països del nostre entorn, afavorida per normativa legal com la Llei Sarbanes-Oxley dels EUA, que exigeix a les societats nord-americanes que cotitzen en borsa i les seves filials ubicades a la Unió Europea, així com les societats no nord-americans, que cotitzin en algun dels mercats de valors Estats Units, que estableixin, en el seu comitè d’auditoria, “procediments per a la recepció, retenció i tractament de queixes rebudes pel causant en relació amb la comptabilitat, controls comptables interns o qüestions d’auditoria, i la presentació confidencial i anònima per part dels treballadors de la persona causant de preocupació en relació amb qüestions comptables o d’auditoria qüestionables “.
Aquests sistemes també afecten les filials espanyoles de multinacionals amb seu central en un país la legislació permeti o empari aquests sistemes i ho pretenguin establir com a procediment de control intern dins la seva política de Compliance (no oblidem la reforma del Codi Penal espanyol que introdueix la responsabilitat penal de la persona jurídica).
Per la seva part el Grup de Treball del Art 29 de la Directiva 95/46/CE ha estudiat el tema en el seu “Dictamen 1/2006 sobre l’aplicació de les normes de la UE relatives a la protecció de dades a programes interns de denúncia de irregularitats en els camps de la comptabilitat, controls comptables interns, assumptes d’auditoria, lluita contra el suborn, delictes bancaris i financers “. Cal tenir en compte que aquest informe només expressa l’opinió del Grup en relació amb aquests sistemes de denúncies en els àmbits financers, d’auditoria i comptables reservant la seva opinió pel que fa a la creació d’altres sistemes similars en àmbits diferents de l’analitzat, com podrien ser els referits a comportaments, accions o fets que puguin constituir violacions tant de les normes internes de la companyia, frau a la mateixa, o vulneració de codis ètics o legislació en vigor. Com a norma general, el Grup de Treball considera que només els informes identificats haurien de comunicar a través de programes de denúncia d’irregularitats per satisfer aquest requisit, però permet als no identificats sota certes condicions:
“Tot i això, el Grup de Treball és conscient que alguns denunciants podrien no trobar sempre en situació o tenir disposició psicològica per presentar informes identificats. També és conscient del fet que les queixes anònimes són una realitat dins de les societats, fins i tot i especialment en absència de sistemes de denúncia d’irregularitats confidencials i organitzats, i que aquesta realitat no pot ignorar. Per això, el Grup de Treball considera que els programes de denúncies d’irregularitats podrien portar a la presentació d’informes anònims a través del programa i a la presa de mesures basades en ells, però només com a excepció a la regla i en les següents condicions.
El Grup de Treball considera que els programes de denúncia d’irregularitats haurien d’estar creats de manera que no fomentin els informes anònims com la manera habitual de presentar una queixa. En concret, les societats no haurien anunciar el fet que es permeten els informes anònims a través del programa. Per contra, ja que els programes de denúncia d’irregularitats haurien de garantir que la identitat del denunciant es tracta en condicions de confidencialitat, les persones que pretenguin presentar un informe mitjançant un sistema de denúncia d’irregularitats haurien de ser conscients que no patiran per la seva acció . Per aquesta raó, el programa d’informar el denunciant, en el moment d’establir el primer contacte amb el programa, que la seva identitat es mantindrà confidencial a totes les etapes del procés i, en concret, que no es divulgarà a tercers, ni a la persona incriminada i als comandaments directius de l’empleat. Si, malgrat aquesta informació, la persona que informa al programa segueix volent romandre en l’anonimat, l’informe s’acceptarà en el programa. També cal informar els denunciants de que podria ser necessari divulgar la seva identitat a les persones pertinents implicades en qualsevol investigació posterior o procediment judicial incoat com a conseqüència de la investigació duta a terme pel programa de denúncia d’irregularitats “.
Arribats a aquest punt, ens trobem amb l’informe jurídic 128-2007 de l’Agència Espanyola de Protecció de Dades que disposa que aquests sistemes només seran vàlids sota un sistema de denúncies NO anònimes. Després de donar llum verda a aquests tractaments en base a l’article 6.2 de la Llei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal “… quan es refereixin a les parts d’un contracte o precontracte d’una relació negocial, laboral o administrativa i siguin necessàries per al seu manteniment o compliment … “, això sí deixant ben clar que” No obstant això, perquè la conclusió anteriorment assolida fos possible, caldria que la finalitat que justifica l’establiment dels sistemes de denúncia descrits en la consulta resultés ajustada a l’adequat manteniment de les relacions contractuals, de manera que el sistema se centrés en la denúncia de conductes que puguin efectivament afectar al manteniment o desenvolupament de la relació contractual que vincula al denunciat i la consultant “, acaba concloent que:” Al nostre parer, hauria de partir-se del establiment de procediments que garanteixin el tractament confidencial de les denúncies presentades a través dels sistemes de “whistleblowing”, de manera que s’eviti l’existència de denúncies anònimes, garantint així l’exactitud i integritat de la informació continguda en aquests sistemes “.
I és clar, el problema que es planteja amb aquesta decisió a qualsevol empresa d’àmbit multinacional (filial o matriu) que vulgui unificar un sistema d’aquestes característiques entre totes les empreses del grup és majúscul ja que homogeneïtzar el sistema es torna “missió impossible” excepte que acceptis la posició espanyola com a veritat absoluta i model a seguir “en un món globalitzat” o que estableixis unes particularitats per al sistema a Espanya que ho deixin inservible i inútil per a la finalitat per a la qual va ser dissenyat. Aquest problema es podria complicar amb la futura aprovació del Reglament Europeu de Protecció de Dades, ja que en establir el principi d’One Stop Shop (única autorització i reconeixement mutu entre decisions de les autoritats de control), unes autoritats de control acceptin aquests sistemes permetent l’anonimat del denunciant i altres autoritats de control no ho acceptin, establint-se per això una discriminació per raó del domicili de la matriu.
No cal oblidar que aquests sistemes estan molt implantats en altres països del nostre entorn, existint empreses que ofereixen aquests serveis de denúncia i investigació a través de tercer (per exemple la britànica Safecall www.safecall.co.uk). Aclarir que aquest tractament estaria subjecte a la figura d’accés a dades, ja que una empresa d’aquest tipus no deixa de ser un mer encarregat de tractament (art. 12 de la LOPD) i subjecte per això a la legislació espanyola.
A part de la problemàtica apuntada, no hem d’oblidar altres aspectes a tenir en compte a l’hora d’implantar un sistema d’aquestes característiques:
Pot produir-se una transferència internacional de dades en comunicar els fets denunciats i la seva resolució a la matriu, si no es troba domiciliada i situada dins del territori de la Unió Europea o de l’Espai Econòmic Europeu, pel que pot ser necessari sol·licitar autorització prèvia a la Agència Espanyola de Protecció de Dades, llevat que la transferència es faci a un país que tingui reconegut per la Comissió Europea un nivell adequat de protecció, o que la destinatària estigui adherida a Safe Harbor (Port Segur), o que la transferència s’enquadri dins d’una de les excepcions previstes en la LOPD que exoneren del deure de sol·licitar autorització prèvia.
S’ha de complir amb el deure d’informació prèvia a l’inici del tractament l’article 5 de la LOPD. Aquesta informació es pot fer a través dels contractes laborals per als nous empleats i per als existents s’hauria de fer a través d’un document que hagi de signar el treballador i que quedi constància que es dóna per assabentat del funcionament del sistema, el seu abast i els drets i deures de l’afectat.
Si un treballador és denunciat, en un primer moment pot ser contraproduent informar conforme a l’article 5 que ha estat denunciat ja que podria dificultar les indagacions tendents a l’esclariment dels fets. Per això entén l’AEPD que el màxim per informar-és el de tres mesos, d’acord amb l’article 5.4 de la LOPD.
No cal oblidar que l’article 4.5 obliga a cancel·lar les dades quan deixin de ser necessàries per a la finalitat per a la qual van ser demanades. En aquests casos s’han de tenir en compte els terminis de prescripció i caducitat d’accions i la finalització de procediments judicials i compliment de la responsabilitat adquirida com a conseqüència dels mateixos.
Quant a les mesures de seguretat a adoptar, l’AEPD estima amb bon criteri que han de ser de nivell alt.
Finalment no hem d’oblidar notificar la inscripció del fitxer en el Registre General de Protecció de Dades.
Pedrosa Busquets & Associats
Departament Legal