Saltar al contenido

Informe de la AEPD sobre sistemas de whistleblowing

Los sistemas de whistleblowing consisten en la creación de un canal de denuncias, anónimas o no, sobre el incumplimiento de normas internas por parte de empleados de una empresa. No es algo muy común, pero se está introduciendo en nuestro país gracias al mundo de la Bolsa.

El problema del chivateo institucionalizado es que choca con la normativa sobre protección de datos, ya que la gracia de estas cosas es que el acusado no sepa nada hasta que se haya resuelto la investigación. Se produce por tanto una recogida y tratamiento de datos sin mediar consentimiento del afectado, que además complicaría las cosas si ejerciera su derecho de acceso.

La Agencia Española de Protección de Datos en su último informe (pdf) resuelve una consulta planteada por una empresa del sector farmacéutico que quiere crear un mecanismo de este tipo, que aunque no concrete demasiado sí da unas pautas.

La ausencia de consentimiento se justificaría en la medida en que dicho tratamiento fuera necesario para el desarrollo y mantenimiento de la relación contractual (laboral, civil o mercantil) existente entre las partes, lo que habría que ver en cada caso. Hubiera sido deseable alguna referencia al Estatuto de los Trabajadores en tanto fundamento y límite a los derechos del empresario, pero bueno en cualquier caso la AEPD entiende que un sistema genérico de este tipo, sin aclarar qué tipo de acciones, comportamientos o hechos se incluirían en estos casos y la normativa en la que se basarían, no es conforme con la LOPD. La empresa debería justificar este tipo de sistemas teniendo en cuenta los principios de finalidad y proporcionalidad.

Se deja claro que debe garantizarse la confidencialidad del denunciante, por lo que en caso de ejercitarse el derecho de acceso no se debería informar sobre la identidad de éste. Según la AEPD, el derecho del afectado está limitado a la información que corresponde a terceras personas, cuya revelación por la empresa supondría una cesión de datos no amparada por la LOPD. Ciertamente en algunos casos entiendo que la confidencialidad debe estar asegurada (pensemos casos de acoso laboral o sexual, por ejemplo), pero si el acceso implica conocer el origen de los datos, creo que para que este interés legítimo ceda frente al anonimato tiene que estar amparado en la ley.

Como contrapunto, no se permiten las denuncias anónimas. Teniendo en cuenta la posible conexión de estos procedimientos con los sindicatos y que pueden tener cabida datos de todo tipo, las medidas de seguridad deben ser de nivel alto.

Publicado enPrivacidad y Protección de Datos

Un comentario

  1. deincognito deincognito

    Javier,

    Esto me hace pensar en que la mayoría de estas denuncias podrían ser interpuestas por los administradores de sistemas de información gracias al conocimiento que adquieren sobre incidentes de seguridad y la importancia que los sistemas de información tienen sobre cualesquiera de los procesos de una empresa.

    El Informe me parece realmente gravoso cuando impone la necesidad de que la empresa, al estilo anglosajón, liste los hechos punibles y las sanciones a ellos aplicables. Sin olvidar el hecho de que la tolerancia o la falta de sanción de las infracciones menores detectadas pueda venirse en su contra cuando sea realmente necesario recurrir al régimen disciplinario vigente en la entidad.

    La cosa se complicará bastante con la próxima reforma del Código Penal, en particular por el futuro nuevo artículo 31 bis, aparte del debate que trae consigo la aplicación de la responsabilidad penal de las personas jurídicas en nuestro ordenamiento jurídico. Este nuevo artículo promocionará el uso de sistemas de monitorización por motivos de seguridad y, en segunda línea, el control de la actividad permanente de la actividad de los trabajadores (no aceptable a priori como ya sabrás).

    Hace tiempo que llevo predicando dentro de la empresa para la que trabajo, con escaso éxito por el momento, la adecuación a la LOPD de los registros de los sistemas de monitorización de sistemas informáticos (proxies y sistemas control y filtrado de acceso a Internet, registros de actividad en dispositivos de comunicaciones, ISPs, programas antivirus, logs de auditoría,…). Sobre todo esto tiene especial importancia en la gestión de incidentes de seguridad en lo que a la recolección de evidencias electrónicas se refiere, pues la vulneración de cualesquiera de los derechos fundamentales reconocidos en el art. 18 CE haría que estas fueran consideradas nulas, además de poder meter en algún lío a los empresarios al estilo Deutsche Bank. El uso de las evidencias electrónicas que aportan cualesquiera de estos sistemas requiere de los empresarios una transparencia y una regulación interna bastante clara sobre las particularidades de su tratamiento de modo que se adecue a la LOPD.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *