Definición del periodo de retención de datos personales en el canal de denuncia interno. Berta Balanzategui. Miembro Junta Directiva Cumplen
Vocal Cumplen
Privacy Counsel
General Electric Power & Water
Privacy Counsel
General Electric Power & Water
Whistleblowing o los canales de alertas internas han tenido ciertamente atención de nuestra autoridad en protección de datos, al igual que la de otras en Europa, con anterioridad a la publicación de la Directiva el pasado mes de diciembre. La AEPD ha mantenido una posición con respecto al tratamiento de los datos de forma anónima que no siempre ha coincidido con las de sus homólogos en otros países, pero sin que me conste pronunciamiento específico sobre cuánto tiempo la información podría o no ser archivada. La Directiva 2019/1937, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, hace una referencia general a la normativa aplicable en la materia
Artículo 17 Tratamiento de datos personales Todo tratamiento de datos personales realizado en aplicación de la presente Directiva, incluido el intercambio o transmisión de datos personales por las autoridades competentes, se realizará de conformidad con el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680. Todo intercambio o transmisión de información por parte de las instituciones, órganos u organismos de la Unión se realizará de conformidad con el Reglamento (UE) 2018/1725.
por la que se hace necesario aplicar los criterios establecidos en el RGPD a la hora de mantener los datos relativos a los Whistleblowers.
Ya viene de muy atrás la opinión del extinto WP Art. 29 (00195/06/EN WP 117) en la que establecía la necesidad de borrar los datos relativos al whistleblower a los dos meses de haberse completado la investigación, salvo en caso de haberse tomado acciones disciplinarias contra el mismo o necesitar dicha información a fin de iniciar acciones legales con posterioridad ya fuera contra el denunciante o el denunciado.
La Directiva viene a reforzar la protección del whistleblower y con ella, todo el peso del RGPD. Países como Francia o Alemania ya recogían en sus leyes nacionales un periodo de dos meses con similares excepciones, como se indicó por el organismo europeo, pero ¿son dos meses suficientes para poder determinar que los datos derivados de la investigación interna ya no son necesarios? O, por el contrario, ¿se debe proceder directamente al borrado porque se han cumplido dichos dos meses y las posibles alegaciones no han podido ser confirmadas?
No sé si habrán tenido ocasión de tener esta conversación, pero en mi caso, tengo que reconocer que las reacciones de mis compañeros de Compliance no han sido precisamente favorables.
Ellos se preguntan ¿qué ocurre si unas alegaciones que no se han podido confirmar en el curso de una primera investigación, vuelven a surgir tras nuevas alertas y se plantean de nuevo los hechos contra un mismo denunciado? ¿Cómo se puede proceder en ese caso? ¿No sería posible entrevistar, por ejemplo, a un previo alertador como testigo en esta ocasión? ¿Qué ocurre en aquellos casos en los que no se han confirmado las alegaciones, pero sí se han identificado acciones correctivas a implantar?
He de reconocer que he asistido a diferentes mesas redondas, seminarios, etc. con la esperanza de encontrar una “solución mágica” que ayude a conciliar requerimientos legales y necesidades funcionales lo cual, en mi caso, no se ha producido. Así que seamos prácticos y busquemos qué opciones tenemos para poder satisfacer lo hasta aquí descrito.
Artículo 17 Tratamiento de datos personales Todo tratamiento de datos personales realizado en aplicación de la presente Directiva, incluido el intercambio o transmisión de datos personales por las autoridades competentes, se realizará de conformidad con el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680. Todo intercambio o transmisión de información por parte de las instituciones, órganos u organismos de la Unión se realizará de conformidad con el Reglamento (UE) 2018/1725.
por la que se hace necesario aplicar los criterios establecidos en el RGPD a la hora de mantener los datos relativos a los Whistleblowers.
Ya viene de muy atrás la opinión del extinto WP Art. 29 (00195/06/EN WP 117) en la que establecía la necesidad de borrar los datos relativos al whistleblower a los dos meses de haberse completado la investigación, salvo en caso de haberse tomado acciones disciplinarias contra el mismo o necesitar dicha información a fin de iniciar acciones legales con posterioridad ya fuera contra el denunciante o el denunciado.
La Directiva viene a reforzar la protección del whistleblower y con ella, todo el peso del RGPD. Países como Francia o Alemania ya recogían en sus leyes nacionales un periodo de dos meses con similares excepciones, como se indicó por el organismo europeo, pero ¿son dos meses suficientes para poder determinar que los datos derivados de la investigación interna ya no son necesarios? O, por el contrario, ¿se debe proceder directamente al borrado porque se han cumplido dichos dos meses y las posibles alegaciones no han podido ser confirmadas?
No sé si habrán tenido ocasión de tener esta conversación, pero en mi caso, tengo que reconocer que las reacciones de mis compañeros de Compliance no han sido precisamente favorables.
Ellos se preguntan ¿qué ocurre si unas alegaciones que no se han podido confirmar en el curso de una primera investigación, vuelven a surgir tras nuevas alertas y se plantean de nuevo los hechos contra un mismo denunciado? ¿Cómo se puede proceder en ese caso? ¿No sería posible entrevistar, por ejemplo, a un previo alertador como testigo en esta ocasión? ¿Qué ocurre en aquellos casos en los que no se han confirmado las alegaciones, pero sí se han identificado acciones correctivas a implantar?
He de reconocer que he asistido a diferentes mesas redondas, seminarios, etc. con la esperanza de encontrar una “solución mágica” que ayude a conciliar requerimientos legales y necesidades funcionales lo cual, en mi caso, no se ha producido. Así que seamos prácticos y busquemos qué opciones tenemos para poder satisfacer lo hasta aquí descrito.
- Aunque diferentes expertos nos recomiendan trabajar en la implementación de la Directiva a la mayor brevedad posible, no se nos escapa a nadie que en los próximos dos años tendremos tantas trasposiciones como Estados Miembros tiene la Unión Europea.
- También hemos oído y leído que la Directiva protege al whistleblower y que el denunciado encontraría su protección en otros ámbitos del ordenamiento jurídico
- Somos conscientes del ámbito material de la Directiva y, a falta de nuevas inclusiones por parte de las futuras leyes nacionales, podríamos identificar aquellas áreas en las que la comunicación de “ilícitos” no serían consideradas reguladas por la mencionada Directiva, por ejemplo, el área laboral. Déjenme aclarar que por “ilícitos” se entenderían aquí tanto los incumplimientos en lo relativo a normativa aplicable, como las violaciones de las políticas internas de la empresa en cuestión.
- Definir en qué consiste el proceso de investigación interna (¿incluye, por ejemplo, implementación de acciones correctivas?)
- Identificar los distintos titulares de los datos que puedan estar involucrados y qué datos personales se procesan de cada uno de ellos (¿se ha de aplicar el mismo periodo de retención al altertante que al denunciado o al investigador?)
- Revisar el contenido de nuestro código de conducta y compararlo con el ámbito de aplicación material de la Directiva (¿existen políticas en dicho código que pudieran no estar cubiertas por la Directiva? ¿es posible definir diferentes periodos de retención en ese caso?)
- Iniciar un proceso de revisión de la Privacidad en el Diseño y por Defecto para verificar qué retención de datos a la gestión de las alertas internas y realizar los ajustes necesarios en herramientas, procedimientos, documentación, etc.
- Entender si se han habilitado canales de alerta externos y asegurar que se alinean con lo prescrito por el responsable.
- Preparar/actualizar los materiales de formación necesarios para que todos aquellos potencialmente involucrados en una investigación interna (investigador, Ombuds, forensics, Compliance, Legal, etc) conozcan cómo gestionar la información generada a lo largo del proceso y cuándo destruirla.
- Documentar todo el proceso de decisión de manera que pudiera ser explicado tanto a auditores (internos o externos) o, llegado el caso, a la autoridad de control competente.