El canal interno de denuncias es un elemento fundamental en un Protocolo de Prevención y Gestión de Riesgos Penales. Si bien la prevención de estos riesgos ha de ser una prioridad, hay que ser conscientes de la posibilidad de que en algún caso las medidas propuestas no sean eficaces, por lo que es necesario establecer un sistema mediante el cual estos incumplimientos de la normativa se denuncien.
Tal como indica la Circular 1/2016 de la Fiscalía General del Estado, “La existencia de unos canales de denuncia de incumplimientos internos o de actividades ilícitas de la empresa es uno de los elementos clave de los modelos de prevención. Ahora bien, para que la obligación impuesta pueda ser exigida a los empleados resulta imprescindible que la entidad cuente con una regulación protectora específica del denunciante (whistleblower), que permita informar sobre incumplimientos varios, facilitando la confidencialidad mediante sistemas que la garanticen en las comunicaciones (llamadas telefónicas, correos electrónicos…) sin riesgo a sufrir represalias”.
La Fiscalía también plantea la cuestión de quién debe encargarse de gestionar este mecanismo. Así, si bien indica que el Compliance Officer (o Comité de Supervisión y Cumplimiento, si es un órgano colegiado) tiene una particular responsabilidad en la gestión del canal de denuncias y, dadas su posición y funciones, puede tener un mayor conocimiento de la comisión de hechos delictivos, también admite que el canal de denuncias puede resultar más efectivo si se externaliza, ya que una empresa externa puede garantizar mayores niveles de independencia y confidencialidad.
Sin embargo, no sólo tenemos que hablar de los canales internos de denuncias desde un punto de vista de Prevención de Riesgos Penales sino que también debemos hacer hincapié en ellos desde un punto de vista de Protección de Datos. En este contexto, nos remitimos al Informe del Gabinete Jurídico de la Agencia Española de Protección de Datos, sobre la Creación de sistemas de denuncias internas en las empresas (mecanismos de“whistleblowing”)
Según este documento, será de importancia crear y dar de alta ante la Agencia Española de Protección de Datos un fichero de sistemas de denuncias internas en la empresa. Este fichero de denuncias, a diferencia de otros, recogerá unas características muy significativas. El sistema permitirá la denuncia de “comportamientos, acciones o hechos que puedan constituir violaciones tanto de las normas internas de la compañía como de las leyes, normativas o códigos éticos” que rigen su actividad.
El responsable del fichero deberá informar a los empleados de la empresa sobre la existencia, la finalidad, las garantías de confidencialidad de los datos del denunciante y la garantía de información al denunciado de la existencia de la denuncia.
El proceso de utilización de este sistema será telefónico o presencial, consistirá en la denuncia de un empleado en la que se recogerán los hechos denunciados y se realizarán las investigaciones correspondientes.
Si los hechos no hubieran sido probados en el plazo de dos meses los datos serán cancelados. Sin embargo, si las investigaciones prosperan, la empresa podrá conservar los datos en tanto sea necesario para el ejercicio de los derechos de la persona denunciada en un juicio. Finalmente, si la empresa tiene sucursales, los datos serán transmitidos a las oficinas competentes, destacando que se tendría que pedir autorización del Director de la Agencia Española de Protección de Datos en según qué casos.