Nueva LOPD – Art. 24. Sistemas de información de denuncias internas

Art. 24. Sistemas de información de denuncias internas

La gran novedad en estos sistemas de denuncias internas es que las mismas podrán ser efectuadas de forma anónima, en contra de lo que venía recomendando la AEPD a raíz de la respuesta a una consulta efectuada al Gabinete Jurídico de la Agencia (ver aquí), donde se recomendaba “evitar la existencia de denuncias anónimas, garantizándose así la exactitud e integridad de la información contenida en dichos sistemas”.

Con esta importante novedad, por otro lado, queda así solventada la contradicción establecida por la norma UNE 19601 de Sistemas de Gestión de Compliance Penal (publicada en mayo de 2017), que, en su apartado 8.7 Comunicación de incumplimientos e irregularidades, establece la necesidad de que la organización implante procedimientos adecuados para facilitar canales de comunicación para que se informar de las circunstancias que pudieran suponer la materialización de un riesgo penal, de forma anónima o confidencial.

En todo caso, se debe informar a los empleados y terceros de la existencia de estos sistemas de información y se limita el acceso a los datos contenidos en estos sistemas a quienes desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que gestionen los mismos.

Los datos, tanto de quien formula la denuncia, como de las personas vinculadas a la misma, solo se podrán conservar durante el tiempo imprescindible para decidir el inicio de una investigación sobre los hechos denunciados. Como máximo, pasados 3 meses desde que se comenzó el tratamiento, se debe suprimir la información del sistema de denuncias.

Existe una excepción: que se deba dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica (aquel que se certifica por la norma UNE comentada al principio).

Para terminar, los datos de las denuncias que no hayan ido a más solo podrán constar de forma anonimizada (no procede el bloqueo en este caso). Y las que sí, pasado el plazo de 3 meses, deberán registrarse fuera del propio sistema de información de denuncias internas.

Todo lo indicado aplica, según la LOPD, también a los sistemas de denuncias internas de las AAPP.