La Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión y, específicamente, recoge, entre las infracciones dentro del ámbito de aplicación de los actos de la Unión, la protección de la privacidad y de los datos personales, y seguridad de las redes y los sistemas de información, mediante un sistema de canal interno de denuncias en empresas y entidades públicas.
Ambito de aplicación
A estos efectos, deberán establecer canales y procedimientos de denuncia interna y de seguimiento, previa consulta a los interlocutores sociales y de acuerdo con la legislación de los estados miembro:
- Las personas jurídicas del sector privado que tengan 50 o más trabajadores.
- Las entidades jurídicas del sector público, incluidas las entidades dependientes
La Directiva 019/1937 regula una protección efectiva al denunciante que comunica o revela públicamente información sobre infracciones, obtenida en el contexto de sus actividades relacionadas con la empresa o entidad pública.
En concreto protege a las personas con vinculación laboral y los funcionarios, los trabajadores no asalariados, los accionistas y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa, los voluntarios y los trabajadores en prácticas que perciben o no una remuneración y también las personas que trabajen bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores.
Procedimiento de denúncia
Respecto a los procedimientos de denuncia interna y seguimiento, los canales que se establezcan permitirán denunciar por escrito o verbalmente, o de ambos modos e incluirán canales para recibir denuncias que estén diseñados, establecidos y gestionados de una forma segura que garantice que la confidencialidad de la identidad del denunciante y de cualquier tercero mencionado en la denuncia esté protegida, e impida el acceso a ella al personal no autorizado.
La entrada en vigor de la Directiva es el 16 de diciembre de 2016 y el plazo de transposición hasta el 17 de diciembre de 2021, excepto para las entidades jurídicas del sector privado que tengan de 50 a 249 trabajadores, a más tardar el 17 de diciembre de 2023.
Funcionamiento del Canal
Por su parte, el artículo 24 de la LOPDGDD aborda la regulación de un sistema de canal de denuncias para el sector público y para el sector privado, que podrá ser anónimo, en los siguientes términos:
- Se deberá informar a empleados y terceros acerca de la existencia de estos sistemas de información.
- El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes desarrollen funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto.
- Los destinatarios de los datos podrán ser las autoridades competentes sobre hechos constitutivos de ilícito penal o administrativo o el personal con funciones de gestión y control de recursos humanos.
- Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.
- Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.
El tratamiento de datos personales en el ámbito de un sistema de canal de denuncias fundamenta su licitud en las siguientes bases legales del artículo 6 del RGPD: 1) Para el sector privado: obligación legal de establecer un canal de denuncias o interés legítimo del responsable del tratamiento. 2) Para el sector público: obligación legal de establecer un canal de denuncias o cumplimiento de una misión realizada en interés público.