Togas.biz

¿Pueden tratarse datos personales en sistemas de denuncias internas?

Siguiendo con las principales aspectos de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“nueva LOPD”), nos referimos seguidamente a los tratamientos de datos referidos a denuncias internas, que se regulan en el art. 24.

La nueva LOPD considera tratamiento lícito la creación y mantenimiento de sistemas de información para canalizar denuncias internas y, a diferencia de lo que había sostenido la Agencia Española de Protección de Datos anteriormente, también considera legítimo el tratamiento en caso denuncias anónimas, es decir, en aquellos caos en los que el denunciante no se identifica.

El art. 24 de la nueva LOPD establece los requisitos para que los sistemas de denuncias internas cumplan con la normativa de protección de datos personales. En particular:

  • Se deberá informar a empleados y terceros de la existencia de este sistema.
  • Sólo quienes desarrollen las funciones de control interno y de cumplimiento o, en su caso, los encargados del tratamiento designados para este cargo, podrán tener acceso a los datos que se contengan en estos sistemas de información. Sólo en el caso en que fuera necesario para la adopción de medidas disciplinarias o para tramitar un procedimiento judicial podrán acceder a los datos personas distintas de aquellas que se dediquen a este control.
  • Se deberán adoptar las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos personales que se suministren mediante estos sistemas de información de denuncias internas.

En cuanto al tiempo de conservación de los datos, la ley fija que deberán conservarse “únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados” y, en todo caso, transcurridos tres meses, deberán suprimirse del sistema de denuncias salvo que se necesiten para probar el correcto funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica en cuestión. Se establece además que, aun habiendo transcurrido el plazo de tres meses, estos datos pueden seguir siendo tratados por el órgano al que corresponda la investigación de los hechos denunciados, pero deberán eliminarse del sistema de información de denuncias internas.

Finalmente, en relación con los datos referentes a las denuncias a las que no se haya dado curso, la nueva LOPD establece que únicamente podrán conservarse anonimizados, sin necesidad de bloquearlos.

Cristina Clos