Carpeta de justicia

LawAndTrends



  • Las empresas deben aplicar medidas de seguridad como la pseudinimización o la encriptación de datos
  • Las compañías deben analizar con profundidad quién será el responsable del Sistema y quienes realizarán la investigación, ya que ello conlleva responsabilidad frente a las sanciones

Las empresas deberán habilitar mecanismos de seguridad y de encriptación de datos para respetar la anonimidad de los denunciantes siguiendo las exigencias de confidencialidad y la criticidad de la información, tal y como refleja la guía que ha elaborado BDO, una de las principales firmas globales de servicios profesionales, sobre la aplicación práctica de la nueva ley reguladora de la protección de las personas sobre infracciones normativas y de lucha contra la corrupción, conocida como la ley Whisteblowing.

La ley establece la obligación a las empresas de integrar sus canales para que los denunciantes puedan acudir a un único canal no solo para garantizar la confidencialidad y la protección de los denunciantes, sino también para promover la utilización de los canales de información internos, pues hasta ahora el miedo a represalias impedía la circulación de la información y de posibles delitos cometidos en el seno de la empresa.

Para lograrlo, las empresas deben aplicar medidas de seguridad como la pseudonimización y la encriptación de datos e implementar protocolos de comunicación, asegurando la confidencialidad anteriormente citada, de las áreas afectadas (Compliance, Legal, Recursos Humanos, etc.) para asegurar que no se llevan a cabo represalias ante los denunciantes o incluso se lleven a cabo las medidas de protección y apoyo a los mismos.

A pesar de garantizar la confidencialidad y la anonimidad de los informantes, las empresas pueden habilitar formularios para que el denunciante pueda realizar seguimiento con un usuario y clave aleatorios, de forma que compatibilicen la posibilidad de cumplir con la anonimidad y el derecho del informante a recibir una copia de la denuncia.

Respecto a los datos personales de categorías especiales (sobre el origen étnico, ideologías políticas o religiosas, entre otras), a pesar de que la ley no ha considerado el criterio emitido por la AEPD, las empresas deben realizar un análisis previo sobre la necesidad de evaluar el impacto en la protección de datos, así como establecer un procedimiento interno que identifique los tipos de datos de categorías especiales, posibles escenarios y garantías adicionales, tal y como apunta BDO.

Asimismo, BDO recomienda el análisis previo de cada empresa en relación a la integración del protocolo de acoso, ya que su adaptación a la ley Whistleblowing, no solo requerirá consulta sino negociación con la representación legal de las personas trabajadoras en caso de que se hubiese implementado dentro del marco del Plan de Igualdad.

El papel del responsable del sistema

El responsable del sistema tiene un papel clave en todo el proceso ya que se encarga de la gestión del sistema. Esta figura es nombrada por el órgano de administración o de gobierno de cada entidad.

Este responsable estará obligado, en caso de que los hechos pudieran ser indiciariamente constitutivos de delito, a remitir la información al Ministerio Fiscal con carácter inmediato. En el caso de que los hechos afectan a los intereses financieros de la Unión Europeo, se remitirá a la Fiscalía Europea.

En este contexto, BDO indica que es posible compatibilizar las funciones del responsable del sistema con las de los Compliance Officers, resultando, por el contrario, poco recomendable en el supuesto de los delegados de protección de datos en relación con el conflicto de interés.

Sin embargo, la gestión del sistema realizada por el responsable no es necesariamente equivalente a la realización efectiva de la investigación, ya que dependiendo de la materia será necesario el asesoramiento legal (por ejemplo, en el caso de denuncias por acoso, deberán investigar personas expertas en la materia y prevención de riesgos laborales). De esta manera, una vez se reciba la denuncia y se examine de forma preliminar, el responsable del sistema podrá requerir acompañamiento legal para su investigación.

Ello cobra especialmente importancia teniendo en cuenta que la persona o personas físicas responsables del sistema tendrán responsabilidad frente a las resoluciones sancionadoras de la Autoridad Independiente de Protección del Informante, incluso cuando la relación con la empresa haya cesado.

Para mitigar esta responsabilidad, la Firma recomienda que el responsable sea abogado/a colegiado/a y ejerciente, pudiendo ser un tercero externo como despacho de abogados, dado que no le afectará esta obligación de comunicación al Ministerio Fiscal o Fiscalía Europea al acogerse al secreto profesional.




No hay comentarios.


Hacer un comentario

He leido y acepto los términos legales y la política de privacidad