La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción plantea un plazo de tres meses a contar desde el 21 de febrero de 2023 para la implementación de canales de denuncias internas. Este es un reto significativo para las organizaciones públicas y privadas que sin duda va a contribuir a la mejora de las condiciones de gobernanza y a la reputación de nuestro sector público y privado. Se trata de la transposición de una directiva europea, que busca garantizar condiciones de gestión de las organizaciones que prevengan cualquier atisbo de la corrupción o mala praxis, que en el pasado demostraron ser capaces de poner en jaque nuestras democracias e incluso de generar amenazas sistémicas para nuestra economía. Precisamente por ello los retos que deben afrontar quienes diseñan estos canales son particularmente relevantes. En este artículo nos referiremos a algunos de ellos.
Un sistema diferenciado.
La regulación ordena disponer de un sistema de información claramente diferenciado, con una atribución de responsabilidades muy precisas. Debe ser capaz de incorporar denuncias o notificaciones, tanto escritas como orales en un entorno bajo la responsabilidad del órgano de gobierno, que debe garantizar la completa indemnidad, tanto de las personas que presentan una comunicación, como de las que resulten mencionadas en la misma. Ello implica sin duda una un conjunto de decisiones de naturaleza organizativa de un lado, pero también desde un punto de vista tecnológico. Por ello, un buen diseño será aquel que conociendo las condiciones internas de la organización y el modo más eficiente de gestionar la información dote de singularidad específica al recurso como sistema claramente independiente desde el punto de vista de su conformación tecnológica. Deberá asegurarse que las personas a cargo de su gestión asumen de modo adecuado su responsabilidad, con un perfil de funciones claramente establecido y un conjunto de garantías de acción muy precisas, entre las que la trazabilidad en el uso podría ser crucial.
El encargado del tratamiento.
Del mismo modo que ha sucedido en prevención de riesgos laborales, es posible acudir a entidades externas para el desarrollo de esta actividad. Aquí debemos ser particularmente exigentes. El artículo 28 del RGPD obliga a ser diligentes en la elección del encargado del tratamiento. Este debe ofrecer las suficientes garantías en relación con el cumplimiento normativo. A mi juicio, no bastará con una oferta de garantías enmarcadas en relación con el cumplimiento del artículo 28. Siempre se ha defendido una aproximación a la interpretación de la normativa de protección de datos con un enfoque de 360°. Desde una interpretación sistemática del ordenamiento jurídico los proveedores de servicios en este ámbito deben incorporar el conjunto de garantías de protección de la información y de los informantes que define la nueva Ley. Deberían rechazarse las ofertas de servicios sin garantías adecuadas y que no incluyan en la definición de su servicio opciones un compromiso claro de certificación o auditoría regular y externa de sus sistemas de información.
El anonimato.
Puesto que se permite tomar la decisión de permitir la presentación de información de forma anónima o bien a través de sistemas de seudonimización, debemos tener en cuenta la particular exigencia que ambos elementos implican. El anonimato, desde el punto de vista de la concepción del RGPD y de las autoridades de protección de datos, se caracteriza por su irreversibilidad y el responsable del tratamiento debe asegurar la exclusión de cualquier riesgo de reidentificación por singularización, inferencia o vinculación. Es más, no basta con ello debe tener en cuenta el estado del arte y las previsiones del avance futuro de la tecnología. En este caso no se trata de anonimizar datos personales, sino de garantizar en origen que dichos estos no existirán. Esto posee una cierta trascendencia ya que por ejemplo en el acceso a sistemas de información online, las cookies, la trazabilidad de IP o de dirección MAC puede ser determinante a la hora de establecer la identidad de un sujeto. En particular, cuando la denuncia se formule desde un terminal vinculado al sistema de información de la entidad. Pero no basta, en ocasiones la información incorpora referencias que ineludiblemente pueden permitir identificar a la persona denunciante. Por ello los gestores del sistema, deben revisar la información escrita u oral a la búsqueda de posibles elementos que permitieran eventualmente identificar a la persona denunciante.
Por otra parte, se plantea la seudonimización como modelo de gestión a las denuncias de las denuncias presentadas por personas que se identifican. En este sentido, la norma hace referencia a la atribución de un código de identificación a cada expediente. En cualquier caso, si la seudonimización debe operar como una barrera que permita establecer un vínculo entre el contenido de la información y la persona que la facilitado, todas nuestras observaciones en relación con el anonimato y el modelo de gestión son pertinentes y relevantes y deberían aplicarse.
Profesor en el Departamento de Derecho Constitucional, Ciencia Política y de la Administración y Director de la Cátedra de Privacidad y Transformación Digital. Doctor en Derecho por la Universitat de València. Miembro de la mesa de expertos en datos e Inteligencia Artificial de la Consejería de Innovación y Universidades de la Generalitat Valenciana. Miembro del grupo de expertos para la elaboración de una Carta de Derechos Digitales de la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital. Ha sido Presidente de la Asociación Profesional Española de la Privacidad y responsable del Área de Estudios de la Agencia Española de Protección de Datos.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.