WHISTLEBLOWING, SANCIONES RGPD Y NOVEDADES AL RESPECTO DE LA AEPD

Con o sin buzón de denuncias, la situación de conflicto que se inicia con la práctica del Whisleblowing implica notables riesgos jurídicos en privacidad que, -si no se mitigan correctamente, - pueden acabar paradójicamente con que la propia empresa sea la denunciada ante la AEPD (Agencia Española de Protección de Datos) y se enfrente a durísimas sanciones económicas.
 

Muéstrame un héroe, y te escribiré una tragedia.” Esta cita de Scott Fitzgerald parece estar en la mente del legislador, tanto que ha iniciado una serie de modificaciones legales para garantizar que no haya venganzas contra quien hace denuncias internamente. Reformas legislativas, entre las que destaca la famosa Directiva (UE) 2019/1937, popularmente conocida como Directiva Whistleblowing.
 

Con estas novedades legislativas se va consolidando aún más la cultura de la denuncia interna, del compliance, incluso cuando no hay un buzón de denuncias implementado. Tanto es así que la situación en ocasiones nos hace preocuparnos no sólo por la tragedia de la que hablaba Fitzgerald (la sufrida por él o la denunciante) sino por la de la empresa que no gestiona correctamente una denuncia.
 

La gestión de una denuncia interna puede acabar mal para distintos actores, pero -como mínimo- es probable que termine mal para la parte denunciada y/o para la parte denunciante. Aquí hay que recordar una tendencia constatada por los y las profesionales en privacidad: gran parte de las denuncias ante la AEPD son denuncias instrumentales interpuestas por voluntad de hacer daño a la empresa denunciada y no tanto por una genuina preocupación por la privacidad (cosa que no evita la interposición de sanciones económicas que en ocasiones se cuentan por millones de euros). La posibilidad que esta parte que se siente damnificada se vengue contra la empresa con este tipo de denuncias ante la AEPD – porque no se hayan respetados sus derechos de protección de datos - es algo muy real.
 

A esta receta explosiva hay que añadirle como mínimo un ingrediente: la complejidad jurídica del tratamiento de datos personales vinculados a denuncias internas (que en ocasiones pueden ser anónimas) y su posterior investigación. Son datos que pueden incluir información tan crítica como la presunta comisión de delitos por parte de la parte denunciada; y que tienen un alto riesgo también, como mínimo, respecto a la confidencialidad de la parte denunciante (ya que, si no se respeta, puede exponer a esta persona a venganza).
 

Independientemente de la Directiva Whistleblowing y de si se ha implementado, o todavía no un buzón de denuncias, las empresas deben cumplir con bastantes obligaciones para tratar adecuadamente los datos personales, dado que pueden llegar este tipo de denuncias. Ello está regulado en distintos apartados del Reglamento General del Protección de Datos (RGPD) y, cuando sí hay buzón de denuncias, destaca especialmente la regulación del artículo 24 de la LOPDGDD. Al final del artículo, hemos preparado una infografía interactiva de las obligaciones en privacidad ante denuncias internas.
 

Aunque ahora no entremos en detalles de cómo deben las empresas cumplir con tales obligaciones, basten algunos datos para ilustrar la complejidad del asunto:

  • Ya en 2006, hay un primer Dictamen del antiguamente llamado Grupo de Trabajo del Artículo 29 sobre estas cuestiones de la privacidad y el buzón de Denuncia. En 2007 hay otro, ahora ya parcialmente desfasado, del Gabinete Jurídico de la AEPD.

  • Desde entonces la situación ha seguido generando dudas, tanto que, por ejemplo, el Supervisor Europeo de Protección de Datos publicó una guía al respecto en julio de 2016 que actualizó en diciembre de 2019 y la autoridad de protección de datos francesa (CNIL) otra guía también en diciembre de 2019.

  • En la actualidad la tendencia es imparable. Así, por ejemplo, en noviembre de 2021 la AEPD dio respuesta escrita a la consulta de una asociación profesional con una serie de aclaraciones sobre cómo debe interpretarse el complejo artículo 24 de la LOPDGDD (en vigor desde diciembre de 2018) respecto a los plazos de retención de datos personales en los propios buzones de denuncias.
     

En resumen, las autoridades de protección de datos europeas y españolas están claramente preocupadas por esta cuestión y ocupadas en ayudarnos en interpretar correctamente la maraña normativa que regula las obligaciones que tienen las empresas de regular el tratamiento de datos personales vinculados a las denuncias internas. Esperemos que con el esfuerzo de todos consigamos que haya más confianza legítima para denunciar internamente comportamientos ilegales, porque se hayan hecho más esfuerzos que nunca en que ni los héroes ni las empresas implicadas sufran tragedias que sí deben quedar reservadas a quienes sean denunciados justamente.