Javier Álvarez Hernando -Abogado
En el año 2002 se aprobó en Estados Unidos la “Ley Sarbanes-Oxley”, conocida también como “SarOx ó SOA” (por sus siglas en inglés). Esta norma viene a regular las prácticas financieras, contables y de auditoría penalizando la mala práctica de algunos profesionales. Esta norma prevé el establecimiento de determinados sistemas internos de alarma, gráficamente denominados como “whistleblowing procedures”, a fin de detectar posibles irregularidades.Debemos destacar que esta ley resulta de obligado cumplimiento para todas las empresas que cotizan en algún mercado de valores norteamericano, por lo que afecta tanto a las grandes multinacionales españolas que cotizan en dichos mercados como a las filiales españolas de empresas multinacionales norteamericanas cotizadas.
Los mecanismos de denuncias internas en las empresas o “whistleblowing”, consisten en la implantación de un sistema que permite la denuncia de comportamientos, acciones o hechos de los trabajadores, que pueden implicar violaciones tanto de las normas internas de las empresas como de la normativa que rige su actividad. Este mecanismo permite que todos los empleados de la empresa puedan ser denunciantes y denunciados.
Estas medidas de control, que se encuentran en auge, han sido analizadas recientemente (Informe 2007-0128) por el Gabinete Jurídico de la Agencia Española de Protección de Datos (en adelante, AEPD), como consecuencia de una consulta realizada por una empresa farmacéutica. Con anterioridad, se adoptó en el seno de la UE, por parte del denominado Grupo de Trabajo del Artículo 29 (creado por el artículo 29 de la Directiva 95/46/CE) como Documento WP 117, la Opinión 1/2006.
En este sentido, elcitado Grupo de Trabajo enfatiza que los programas de denuncia de irregularidades “conllevan un riesgo muy grave de estigmatización y vejación de dicha persona dentro de la organización a la que pertenece”.
Con todo, para la Agencia Española, este tipo de sistemas de control serán adecuados a la normativa de protección de datos siempre que se cumplan una serie de requisitos, que sistematizamos a continuación:
a) Que los empleados tengan pleno conocimiento de la existencia de los mecanismos de “whistleblowing”, debiendo quedar incorporada a la relación contractual la existencia de dichos procedimientos.
b) La finalidad que justifica el establecimiento de estos sistemas debe centrarse en la denuncia de conductas que pudieran afectar al mantenimiento o desarrollo de la relación contractual que vincula al denunciado y a la empresa.
c) Deben evitarse las denuncias anónimas, garantizándose así su exactitud e integridad.
d) Deben concretarse qué acciones deberán ser objeto de denuncia especificando las normas a las que las mismas se refieren, debiendo en todo caso, limitarse a aquellas que tengan una efectiva implicación en la relación laboral.
e) Se debe establecer un plazo máximo para la conservación de los datos relacionados con las denuncias, debiendo limitarse a la tramitación de las medidas de auditoría interna necesarias y, como máximo, a la tramitación de los procedimientos judiciales que se derivasen de la investigación realizada.
f) El responsable del fichero o su representante debe informar al denunciado de forma expresa, precisa e inequívoca, dentro de los 3 meses siguientes al momento del registro de la denuncia, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en el artículo 5.1 de la Ley Orgánica de Protección de Datos (LOPD).
g) El sistema creado deberá garantizar, en todo caso, el ejercicio de los derechos establecidos en la LOPD, tanto en cuanto a la información que debe facilitarse en los correspondientes contratos, como en cuanto a la información específica referida al tratamiento de los datos y el posible ejercicio por el afectado de sus derechos de acceso, rectificación, cancelación y oposición, cuando proceda.
h) Por otro lado, deben implantarse las medidas de seguridad (nivel básico, medio o alto) que correspondan al tipo de datos que se pudieran tratar en las denuncias.
Sin duda la implantación de estos sistemas de denuncias internas se van a ir generalizando poco a poco en las empresas españolas, no estando de más que el legislador se preocupe por este asunto y lo regule formalmente, con el fin de proteger a los empleados, ya no sólo frente a tratamientos ilegítimos de sus datos, sino frente a “denuncias” falsas, propiciadas por la dirección o por otros compañeros, que pudieran justificar despidos como consecuencia de vulneraciones de normas internas de la empresa.
