La legitimación para el acceso a los datos del Canal de Denuncias
Señalábamos en la anterior entrada que el RGPD UE 2016/679 , junto con la LOPDGDD 3/2018, parecían plantear solución a las dudas que sobre el funcionamiento de los Canales de Denuncia se mantenían en relación a la antigua LOPD
Sin embargo, se plantean, quizás, algunas cuestiones no definitivamente resueltas. Atendamos, por ejemplo, a lo establecido en el art. 24 de la LOPDDGG sobre legitimación de acceso a los datos personales contenidos el sistema cuando la norma refiere, exclusivamente, a “a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto”:
Una interpretación restrictiva nos llevaría pensar que se contempla tan solo a los Organos de Control normativamente reconocidos y/o regulados (Organos de Gobierno, en especial en virtud de sus facultades indelegables-, Organo de Control de las S.A. Europeas -sistema dual-, Organos de Control interno obligatorios por normativas sectoriales y/o reguladas, etc.)
Parece evidente, respecto funciones de control y cumplimiento, que apuntaría también directamente, en el caso de sistemas de gestión de compliance penal, al órgano al que se ha encomendado la supervisión del funcionamiento y del cumplimiento del modelo de prevención (art. 31 bis 2.2º C.P.)
Pero, ¿cabría entender que también refiere a otras personas que tienen encomendadas funciones de control interno, y que, no siendo Organos obligatorios por disposición legal, pudiera designarlos la persona jurídica internamente? Entendemos que una respuesta rápida será afirmativa, en primer lugar por el propio dictado del artículo 24 de la ley.
Existen departamentos en las organizaciones que tienen encomendadas funciones de control interno y supervisión del cumplimiento, cual pudiera ser el Departamento de RRHH. Sin embargo, en relación concretamente a éste, la LOPDGDD establece prevención explícita de que la comunicación de datos a personal con funciones de gestión y control de RRHH lo será única y exclusivamente en caso de adopción de medidas disciplinarias contra trabajadores (véase que califica a dicho personal con atributos de funciones de gestión y control).
¿Debe interpretarse que el Dpto. de RRHH constituye una excepción respecto a otros Dptos. con funciones de control y cumplimiento?. Y esta excepción, en su caso, ¿cómo ha de interpretarse?. ¿Supone excepción positiva frente al veto de comunicación de datos a otros departamentos internos dotados de funciones de control? ¿Supone, por el contrario, una excepción negativa -salvo el supuesto de adopción de medidas disciplinarias- frente a la posibilidad general de acceso de otros departamentos que ostenten funciones de control?
Quizás la respuesta pudiera ser más sencilla si atendiéramos al criterio delimitador de la Ley 10/2010 de PBC/FT, al establecer qué ha de entenderse como Organo de Control. En su art. 26 bis señala que “2. Será de aplicación a estos sistemas y procedimientos lo dispuesto en la normativa de protección de datos de carácter personal para los sistemas de información de denuncias internas. A estos efectos, se considerarán como órganos de control interno y cumplimiento exclusivamente los regulados en el artículo 26 ter.”
Atendamos que “a estos efectos” refiere directamente a la normativa de protección de datos y, posteriormente, la relaciona con los “órganos de control interno” que establece la propia norma de forma imperativa, es decir, existentes por obligación y consiguiente amparo legal explícito
Relacionando ambas normas, parece evidente que delimita de forma concreta quienes podrán tener acceso a los datos contenidos en el sistema de denuncia, a saber, los órganos que cita expresamente en el artículo siguiente, dejando fuera aquellos departamentos o personas de la organización que, por decisión de esta pero no por obligación legal, asumen funciones de control y cumplimiento. ¿Es la Ley PBC/FT un supuesto excepcional o es una concreción más clara de lo recogido por la LOPDDGG?
Podríamos entender que abrir el abanico para acceso a los datos contenidos Canal de Denuncias bajo un criterio no restrictivo de personas o departamentos que ejercen funciones de control, dejaría en manos exclusivamente de las organizaciones establecer aquellas personas con posibilidad de acceso (bastaría atribuirles funciones de control en segmentos de la entidad), lo que, quizás, difícilmente conciliaría, entre otros, con los principios de confidencialidad que deben regir el funcionamiento del propio Canal, amén de los principios contemplados en la LOPDDGG y RGPD
Esta conclusión, evidentemente, supondría un serio hándicap para PYMES, en el supuesto de no asumir el Organo de Administración la gestión del Canal o, quizás, avocar a la alternativa de un Canal externo.
Alternativamente, una lectura del artículo puede concluir que la designación como encargado del canal de denuncias constituye funciones de control y cumplimiento, por lo que la designación por la Entidad a los miembros de esos Departamentos que ya ostentan funciones de control como directamente encargados de la gestión del canal de denuncias les habilitaría para tener acceso a los datos, pero eso si, a estos únicos efectos. La única cuestión a dilucidar sería: ¿Estaría implícitamente vedado el personal de RRHH para ser designado en la función de gestión del canal de denuncias?.
Francisco Javier González Campos
Socio Bonatti Compliance
