Por Viviana Chávez Bravo, Abogada por la Pontificia Universidad Católica del Perú, con especialización en Compliance (Programa Superior de Compliance) por el IE Law School (Madrid) y estudiante del Máster Oficial en Protección de Datos de la Universidad Internacional de La Rioja. Acreditada como Internationally Certified Compliance Professional por la International Federation of Compliance Associations – IFCA. Asociada Senior en Estudio Echecopar asociado a Baker & McKenzie International.

En nuestro país, especialmente a razón de la entrada en vigencia de la Ley 30424, que regula la responsabilidad de las personas jurídicas por la comisión de delitos de corrupción y conexos, se viene tomando cada vez más conciencia de la importancia de implementar modelos de prevención o «programas de compliance» al interior de las compañías, como un mecanismo para fortalecer la cultura corporativa ética y como una herramienta para proteger a la compañía ante la eventual comisión de algún delito en su interior[1].

Entre las herramientas con que debe contar mínimamente todo modelo de prevención y que contribuyen a su correcto funcionamiento, destaca lo que en experiencia comparada se conoce como «whistleblower hotline» o «canal de denuncias», que no es otra cosa que el medio con el que cuentan los diferentes grupos de interés (principalmente los empleados, aunque también los clientes, proveedores y/o sociedad en general) para reportar conductas que pudieran calificar como delitos y/o como incumplimientos a las normas de ética dispuestas por la compañía.

Si bien la implementación de un canal de denuncias trae consigo muchos beneficios para la compañía -principalmente, le permite conocer conductas que, de otro modo, podrían pasar inadvertidas y tomar medidas inmediatas para mitigar las consecuencias negativas de estas-, también trae consigo diversos retos, siendo uno de ellos cómo conciliar su funcionamiento (y consecuente procesamiento de información) con la legislación sobre datos personales.

Canal de denuncias como elemento clave del modelo de prevención

El reconocimiento del canal de denuncias como un elemento esencial de los modelos de prevención responde a diversas normas y estándares internacionales –Foreign Corrupt Practices Act[2], Norma ISO 19600, Sistemas de Gestión de Compliance[3], Norma ISO 37001, Sistemas de Gestión Anticorrupción[4], entre otros-, que establecen que un programa de cumplimiento efectivo debe incluir un mecanismo para que los empleados de las organizaciones puedan reportar violaciones -o sospechas de estas- a las obligaciones de cumplimiento de la compañía sin miedo a represalias.

Así, el canal de denuncias se presenta como una alternativa a las comunicaciones que podrían efectuarse siguiendo la cadena de mando de la compañía. No son pocos los casos en los que funcionarios de rango medio a alto participan activamente en conductas infractoras, o al menos tienen conocimiento de estas y las consienten (por ejemplo, por contribuir estas al logro de determinados objetivos, como metas de ventas). Una denuncia formulada por un empleado de menor rango respecto de aquellos involucrados en la conducta podría ser fácilmente bloqueada y nunca llegar a ser de conocimiento de la alta dirección.

Con la entrada en vigencia en nuestro país de la normativa que atribuye responsabilidad a las personas jurídicas por la comisión de delitos de corrupción y conexos, las compañías necesitan conocer qué es lo que pasa al interior de estas y para eso contar con un canal de denuncias es fundamental. Ignorar lo que ocurre no será una defensa posible. Así lo reconoce la propia Ley 30424, al establecer que la implementación de procedimientos de denuncia constituye un elemento esencial de todo modelo de prevención.

Ahora bien, para que un canal de denuncias funcione es necesario que este sea coherente con el marco legal. Siendo que el canal de denuncias es una herramienta que supone el procesamiento de información personal altamente sensible, el respeto a la legislación sobre protección de datos personales -contenida en la Ley 29733, sobre Protección de Datos Personales («LPDP») y su Reglamento, aprobado mediante Decreto Supremo 003-2013-JUS- resulta trascendental.

Las implicancias en materia de privacidad del funcionamiento de canales de denuncia

Las compañías al día de hoy ya tienen en claro la importancia de implementar canales de denuncia, ¿pero tienen en claro cuáles son las consideraciones en materia de privacidad que deben ser evaluadas?  En legislación comparada, una tarea previa y necesaria a la implementación de un canal de denuncias es la realización de un «Data Protection Impact Assesment» o «Evaluación de Impacto en la Protección de Datos Personales» («EIPD»)[5], el cual consiste en analizar la necesidad y proporcionalidad de las operaciones de tratamiento, los riesgos para los derechos y libertades de los titulares de datos personales y, finalmente, las medidas previstas para afrontar los riesgos.

En esa línea, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo el 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos («Reglamento UE «), establece que cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará una EIPD[6].

En lo que se refiere a los canales de denuncia, su funcionamiento supondrá procesar información personal y altamente sensible del denunciado. Verse involucrado en una investigación por la presunta comisión de un delito y/o el incumplimiento a una norma ética puede afectar gravemente su reputación si es que esa información no es procesada siguiendo los principios dispuesto por la LPDP. Por otro lado, el funcionamiento de un canal de denuncias también supondrá el procesamiento de información personal del denunciante -salvo en el caso de canales 100% anónimos-, el cual, de no ser realizado adecuadamente, podría tener como resultado que este sufra de acoso y/o intimidación.

Así, entre los principales aspectos a tener en consideración para la evaluación y mitigación de riesgos -a las que alude la EIPD- de implementar un canal de denuncias son: (i) cuál es la base legal que autorizará el procesamiento de datos personales, (ii) a qué información vinculada a la investigación podrá acceder el denunciado; (iii) cuáles serán las reglas para el manejo y conservación de los datos personales y (iv) qué otras obligaciones derivadas de la LPDP se deben cumplir.  En lo que sigue, comentaremos estos puntos y brindaremos algunas pautas al respecto.

Cómo implementar un canal de denuncias que sea respetuoso de la ley de datos personales

Sobre la licitud del procesamiento de datos personales

La LPDP exige, como regla general, que todo procesamiento de datos personales se realice con el previo consentimiento del titular de los datos personales; sin embargo, también establece que, en determinados casos, ese consentimiento no será necesario.  Uno de esos casos está referido al tratamiento de datos personales que resulte necesario para ejecutar una relación contractual de la cual el titular de la información es parte. Y es aquí donde surge una primera duda, ¿el funcionamiento de un canal de denuncias es necesario para ejecutar una relación contractual? Una respuesta conservadora sería que no, que aun cuando el funcionamiento del canal de denuncias pueda ser conveniente para la ejecución de una relación contractual -por ejemplo, de una relación laboral, para darle a los empleados un medio para comunicar sus dudas y preocupaciones-, no es necesario.

Si no hablamos ya del caso de una relación laboral, sino de una relación comercial (por ejemplo, con prestadores de servicios o clientes), apelar a la aplicación de este supuesto de excepción supondría asumir un riesgo más alto. En efecto, recordemos que el objetivo de un canal de denuncias es que la compañía tome conocimiento temprano de situaciones de riesgo para tomar medidas de remediación y evitar o mitigar la generación de daños, y así contribuir al fortalecimiento de su cultura ética. Si bien puede ser de interés de un proveedor o cliente relacionarse con una compañía que es sostenible en el mercado, esto no lo convierte en necesario para ejecutar la relación contractual.

De esta manera, lo más recomendable -al menos hasta que se introduzcan modificaciones al marco legal-, es que se solicite el consentimiento previo de aquellas personas cuya información pudiera ser procesada con ocasión del funcionamiento del canal de denuncias -tanto en calidad de denunciantes como en calidad de denunciados.

Así, dependiendo del alcance que tenga dicho canal de denuncias -por ejemplo, si solo está habilitado para el uso de empleados, o también se prevé su uso por otros grupos de interés-, las compañías deberán informar a los titulares de datos personales sobre el funcionamiento de esta herramienta y sobre las condiciones bajo las cuales se procesaría su información personal de así consentirlo[7]. El consentimiento se podrá obtener a través de formularios creados para esos efectos, la inclusión de cláusulas contractuales o a través de la aceptación expresa de un «Procedimiento de denuncias»[8] que contenga el detalle en relación al procesamiento de información personal.

A fin de que la obtención del consentimiento no se convierta en un obstáculo para la implementación de canales de denuncia, sería altamente conveniente que el funcionamiento de estos se regule como una excepción al consentimiento. Al respecto, nos permitimos remitirnos a la recientemente publicada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que adecúa la legislación española al nuevo Reglamento UE, la cual reconoce la licitud de la creación y mantenimiento de sistemas de denuncias. Por lo demás, solo establece que los empleados -y terceros, de ser el caso-, deberán sean informados sobre la existencia del canal de denuncia.

Es de suma utilidad mirar la experiencia extranjera, pues esta es resultado de un proceso de maduración del marco legal. El caso de España -y de Europa en general- es particularmente relevante, pues las disposiciones sobre el funcionamiento de canales de denuncias vigentes al día de hoy son resultado de diversos esfuerzos para conciliar dicha herramienta con la legislación sobre protección de datos personales[9].

Sobre el alcance del derecho del denunciado a acceder a su información

Uno de los principales derechos que la LPDP (artículo 19) reconoce a los titulares de información personal es el derecho de conocer qué información sobre sí mismos es objeto de tratamiento, la forma en la que fue recopilada, qué motivó su recopilación y a solicitud de quién se realizó.

Al respecto, surgen las siguientes dos principales interrogantes: (i) ¿debo informar al denunciado que se ha iniciado una investigación en su contra?, (ii) ¿el derecho de acceso a la información incluye conocer la identidad del denunciante?

En relación a (i), la LPDP -a diferencia de otras legislaciones- no establece que el titular de la información deba ser informado en cada oportunidad que se recopila su información. En la medida que el denunciado -por ejemplo, un trabajador- haya sido informado con anterioridad sobre el canal de denuncias y haya autorizado el eventual procesamiento de su informado para su funcionamiento, no será necesario informarle cuando se haya iniciado una investigación en su contra. Esto es de mucha utilidad, pues informar a un denunciado sobre el inicio de una investigación podría significar que esta se vea obstaculizada -por ejemplo, que borre la evidencia (correos electrónicos, documentos) que acreditaría la conducta denunciada.

Sobre (ii), podría ocurrir que el denunciado ejerza su derecho de acceso a la información (por ejemplo, porque ya habiendo avanzado la investigación, se le informó sobre esta para que ejerza su derecho de defensa). En un escenario como este cabe preguntarse si se debería entender que eso incluye conocer la identidad de quién formuló la denuncia.

Al respecto, somos de la opinión que no.  Como el ejercicio de cualquier derecho, el ejercicio del derecho de acceso que le asiste a los denunciados debería estar sujeto a determinadas limitaciones, incluyendo la protección de los derechos e intereses de terceros -esto es, de los denunciantes.  Salvo que el denunciante lo hubiera autorizado, revelar su identidad supondría afectar su derecho a la protección de sus datos personales[10]. Esto además podría representar una afectación a la reputación del denunciante, quien podría ser estigmatizado por el resto de la organización como un delator.

La LPDP (artículo 27) ya dispone que las entidades estatales pueden denegar el ejercicio de los derechos por razones fundadas en la protección de derechos e intereses de terceros -además de cuando pueda obstaculizar investigaciones por la comisión de infracciones, faltas o delitos. Sería de gran utilidad que la Autoridad de Datos Personales emita un pronunciamiento señalando que el mismo criterio deberá ser de aplicación al caso de los derechos que se ejerzan los denunciantes de cara a entidades privadas.

Sobre el almacenamiento de información personal en el canal de denuncias

La LPDP es clara al señalar que la información personal solo deberá ser almacenada durante el tiempo necesario para cumplir con la finalidad para la cual la información se recopiló[11]. En el contexto del funcionamiento de un canal de denuncias, ¿cuánto tiempo se entiende como necesario a esos efectos?

Al respecto, creemos que no existe una regla única. El plazo dependerá de las circunstancias de cada caso -del tipo de incumplimiento materia de denuncia, su gravedad y complejidad, del material probatorio que se acompañe a la denuncia (el cual puede ser concluyente o no), de la cantidad de personas involucradas en la conducta denunciada, entre otros- e incluso de los propios recursos con los que cuenta la compañía para realizar la investigación de las denuncias. Lo cierto es que la compañía deberá estar en posición de acreditar que almacena la información únicamente durante el plazo necesario para realizar la investigación y emitir una decisión sobre el particular.

Una buena práctica para garantizar que así sea es que el procedimiento que implemente la compañía para describir el funcionamiento del canal de denuncias establezca un plazo máximo con el que contará el funcionario u órgano encargado de recibir las denuncias para realizar la evaluación preliminar -con el objetivo de definir si la denuncia es procedente o no-, así como el plazo máximo total para dar por concluida la investigación de aquellas denuncias declaradas procedentes.

De esta manera, en el caso de las denuncias improcedentes (por ejemplo, por ser notoriamente infundadas, por no cumplir con identificar con claridad a las personas involucradas, entre otros), estas serán eliminadas del sistema lo antes posible (y, a más tardar, al término del plazo máximo establecido para la evaluación preliminar), por no ser necesaria su conservación por un plazo adicional.

En lo que respecta a la información vinculada a denuncias declaradas procedentes, esta sí podrá ser almacenada por un plazo mayor al antes referido, pero teniendo en claro que no deberá superar el plazo máximo permitido por la compañía, el cual ha sido definido sobre la base de criterios de proporcionalidad y necesidad. A manera de referencia, la Ley Orgánica 3/2018, de 5 de diciembre, ha dispuesto como plazo máximo para realizar las investigaciones internas un plazo de tres meses, contado desde la fecha de formulación de la denuncia. Creemos que este es un plazo razonable, que podría ser tomado por las compañías peruanas como una buena práctica.

Trascurrido dicho plazo, la información personal deberá ser eliminada del sistema del canal de denuncias. Ahora bien, en determinados casos, esta podría continuar siendo conservada por otros órganos de la compañía -en todo o parte-, si las circunstancias así lo exigen. Uno de estos casos sería el de aquella información cuya conservación sea necesaria para ejecutar una relación contractual (por ejemplo, información vinculada a una falta cometida por un empleado, la cual deba ser incluida en su expediente personal a efectos de dar seguimiento a la mejora de su desempeño y/o para sustentar su despido de la compañía). Sin embargo, aquella información cuyo almacenamiento no fuera indispensable, esta deberá ser eliminada.

Ahora bien, estas limitaciones en cuanto al almacenamiento de información deben, una vez más, ser conciliadas con las necesidades de la compañía en lo que respecta al funcionamiento de su modelo de prevención. En efecto, para que el modelo de prevención pueda servir a la compañía como defensa ante el eventual inicio de una investigación por la comisión de un acto de corrupción o delito conexo, la compañía deberá estar en la posición de acreditar que este funciona adecuadamente y, para eso, deberá probar que el canal de denuncias -uno de sus elementos principales- ha servido como un mecanismo efectivo para la detección de prácticas indebidas.

Para estar en posición de acreditar el correcto funcionamiento de este mecanismo, la compañía deberá contar con información relacionada con el flujo de denuncias recibidas a través de este, porcentaje de denuncias declaradas procedentes, materias sobre las que han versado, mejoras en los procesos de la compañía que se han implementado como resultado de los incumplimientos detectados, entre otros aspectos.  Si la compañía elimina toda la información obtenida a través del canal de denuncias una vez que da por cerrado el caso -ya sea porque la denuncia no es procedente o, en el caso de denuncias procedentes, luego de culminada la investigación-, no podrá probar que el canal de denuncia está operativo y funciona adecuadamente.

Ante esta situación, una opción a evaluar -y que es respetuosa del derecho de los involucrados en las denuncias a la protección de sus datos personales-, es proceder a la anonimización de la información personal una vez que se dé por cerrado el caso. De esta manera, la compañía podrá almacenar la información y estar en posición de acreditar el adecuado funcionamiento del canal de denuncias.

Temas adicionales a considerar

Tras haber abordado los aspectos que, desde la perspectiva de la protección de datos personales, consideramos que son los más relevantes al momento de implementar un canal de denuncias, vemos por conveniente enunciar brevemente otras obligaciones -de corte más formal- que la LPDP impone y que no deberán perderse de vista.

Como todo conjunto de información personal, el banco de datos que resulte de la implementación de un canal de denuncias deberá ser debidamente inscrito ante la Autoridad de Datos Personales.  Asimismo, las compañías deberán poner en conocimiento de dicha Autoridad toda transferencia internacional de información personal que se realice como consecuencia del funcionamiento del canal de denuncias (por ejemplo, a la casa matriz de la compañía u otra empresa relacionada; al proveedor que aloja la plataforma del sistema de denuncias, en caso esta esté ubicada en el extranjero; entre otros). Finalmente, las compañías deberán implementar las medidas de seguridad técnicas, legales (incluyendo la suscripción de contratos de procesamiento, contratos de transferencia, compromisos de confidencialidad, entre otros) y organizativas que sean necesarias para resguardar la confidencialidad de la información.

A manera de conclusión

Estas líneas no pretenden, sino, dar algunas pautas en relación a cómo implementar los canales de denuncia -los cuales vienen ganando protagonismo como un elemento clave de los modelos de prevención- de una manera respetuosa de las reglas contenidas en la LPDP y de los principios en los que esta se sostiene.

Sin embargo, como hemos mencionado a lo largo de este artículo, va a ser fundamental que la normativa y los pronunciamientos de las autoridades competentes -en particular, de la Autoridad de Protección de Datos Personales- se alineen con dicho objetivo.


[1] La Ley 30424 establece que las compañías que hayan implementado un modelo de prevención con anterioridad a la comisión de un delito serán excluidas de responsabilidad (artículo 17); mientras que aquellas que lo hayan implementado tras la comisión del delito (y antes del juicio oral) podrán ser beneficiadas con la atenuación de la pena (artículo 12).

[2] «An effective compliance program should include a mechanism for an organization’s employees and others to report suspected or actual misconduct or violations of the company’s policies on a confidential basis and without fear of retaliation.» Criminal Division of the U.S. Department of Justice and the Enforcement Division of the U.S. Securities and Exchange Commission: «A Resource Guide to the U.S. Foregin Corrupt Practices Act».

[3] «10.1.2. Escalation

An effective compliance management system should include a mechanism for an organization’s employees and/or others to report suspected or actual misconduct or violations of the organization’s compliance obligations on a confidential basis and without fear of retaliation.»

[4] «5.1.2 Top management

Top management shall demonstrate leadership and commitment with respect to the anti-bribery management system».

[5] Conforme a la «Guía para una Evaluación de Impacto en la Protección de Datos Personales» desarrollado por el Grupo de Trabajo del Artículo 29 de la Agencia Española de Protección de Datos Personales, un EIPD es «un proceso concebido para describir el tratamiento, evaluar su necesidad y proporcionalidad y ayudar a gestionar los riegos para los derechos y libertades de las personas físicas derivados de tratamiento de datos personales, evaluándolos y determinando las medidas para abordarlos.»

[6] Reglamento UE

«Artículo 35.- Evaluación de impacto relativa a la protección de datos

  1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.»

[7] Sobre este punto, tomar en cuenta que la LPDP establece que, para obtener un consentimiento válido, este deberá ser libre, previo, expreso, inequívoco e informado.  Esto último significa que, antes de solicitar el consentimiento, se deberá informar a los titulares de datos personales sobre lo siguiente: la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios; la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del o de los encargados del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; si sus datos personales serán materia de transferencia; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la LPDP le concede y los medios previstos para ello.

[8] El Reglamento de la Ley 30424 (artículo 40), al referirse a la implementación de canales de denuncia como un elemento mínimo del modelo de prevención, alude a la creación de un «Procedimiento de denuncia» y al contenido que este debe tener.

[9] Mediante Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, se creó el Grupo de Protección de la Personas en lo que respecta al Tratamiento de Datos Personales.  Dicho Grupo de Trabajo elaboró el Dictamen 1/2006, relativo a la aplicación de las normas sobre protección de datos de la UE a los sistemas internos de denuncia e irregularidades en los ámbitos de contabilidad, controles de auditoría internos, cuestiones de auditoría, lucha contra la corrupción y delitos financieros y bancarios.  Por otro lado, el Gabinete Jurídico de la Agencia Española de Protección de Datos también analizó en su oportunidad este tema, habiendo emitido su Informe 128/2007.  Estos esfuerzos contribuyeron al Reglamento UE, así como a la Ley Orgánica 3/2018, de 5 de diciembre (Ley de Datos de España).

[10] Este es el criterio que ha adoptado el European Data Protection Supervisor, que en el documento «Guidelines on processing personal information within a whistleblowing procedure» ha establecido lo siguiente: «When access is granted to the personal information of any concerned individual, the personal information of third parties such as informants, whistleblowers or witnesses should be removed from the documents except in exceptional circumstances if the whistleblower authorizes such a disclosure, if this is required by any subsequent criminal law proceedings or if the whistleblower maliciously makes a false statement».

[11]  Ley 29733, de Protección de Datos Personales

«Artículo 8. Principio de calidad

Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible, actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados. Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento.»

DEJA UNA RESPUESTA

Please enter your comment!
Please enter your name here