Pero la entrada en vigor del Nuevo Reglamento europeo de Protección de Datos (RGPD) el pasado 25 de mayo y la reforma a la que está siendo sometida la Ley Orgánica de Protección de Datos (LOPD) han puesto de nuevo este asunto encima de la mesa y esta vez, con la intención clara de avanzar de la misma forma que lo han hecho otros países de la UE, en la que desde hace años esta medida es posible.
El pasado 4 de septiembre se publicó el Real Decreto 11/2018, de 31 de agosto, que, entre otras cosas, transpone al derecho español la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y la financiación del terrorismo.
En virtud de esta Directiva, deben establecerse canales internos de denuncias en el sector privado que permitan comunicar conductas contrarias a la ley o a los procedimientos internos aprobados por las organizaciones para asegurar el cumplimiento normativo en sus actuaciones.
Y es que no admitir el anonimato supone un freno muy importante en la denuncia de irregularidades o hechos ilícitos en organizaciones, principalmente, la relativas a blanqueo de capitales. La implementación de esta medida ha demostrado en otros países que la protección de los datos del denunciante ha ayudado a detectar irregularidades muy graves que pueden poner en peligro, no sólo la reputación de la organización, sino también miles de puestos de trabajo, mejorando, en definitiva, el sistema de compliance.
Concretamente, el Real Decreto introduce un nuevo artículo en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, el artículo 26 bis. En cuyo primer apartado indica: "Los sujetos obligados establecerán procedimientos internos para que sus empleados, directivos o agentes puedan comunicar, incluso anónimamente, información relevante sobre posibles incumplimientos de esta ley, su normativa de desarrollo o las políticas y procedimientos implantados para darles cumplimiento, cometidos en el seno del sujeto obligado".
El anonimato en estos canales de denuncias internas en empresas o whistleblowing supone una novedad en España. Si echamos la vista atrás, desde la promulgación de la Ley Sarbanes-Oxley de EEUU en el año 2002, España era uno de los pocos países que no permitía las denuncias internas anónimas dentro del ámbito de las organizaciones.
El antiguo órgano asesor de la Comisión Europea en materia de protección de datos, el Grupo de Trabajo del Artículo 29 (GT29), en su Dictamen 1/2006 relativo a la "aplicación de las normas sobre protección de datos de la UE a los sistemas internos de denuncia de irregularidades en los ámbitos de la contabilidad, controles de auditoría internos, cuestiones de auditoría, lucha contra la corrupción y delitos financieros y bancarios", aunque establece como regla general que el denunciante se debe identificar, sí permite que se puedan recibir y tramitar denuncias anónimas en determinadas circunstancias.
Pero la Agencia Española de Protección de Datos (AEPD) se aleja de las recomendaciones del GT29 y de las regulaciones de los países de su entorno y en 2007, en un informe de su Gabinete Jurídico (Informe Jurídico 128/2007) "Creación de sistemas de denuncias internas en las empresas (mecanismos de whistleblowing)" afirmaba expresamente que las denuncias no podían ser anónimas.
A pesar de este informe de nuestra Agencia, la realidad era que sí se aceptaban y tramitaban denuncias anónimas y la jurisprudencia les concedía validez. Así, por ejemplo, esta sentencia del Tribunal Superior de Justicia de Canarias sobre el despido de un trabajador por parte de ENDESA S.A. (sede de Las Palmas de Gran Canaria) Sala de lo Social 2117/2016, de 22 de junio de 2016, cuestionó la prohibición de la AEPD de no permitir las denuncias anónimas.
El Tribunal analiza tanto el Informe Jurídico 128/2007 de la AEPD como el Dictamen 1/2006 del GT29 y concluye:
"Ahora bien, el hecho de que la transmisión de la denuncia anónima depositada en el Buzón Ético pudiera suponer incumplimiento de las orientaciones ofrecidas por la AEPD no significa que ENDESA SA vulnerase en el tratamiento de esa información personal el derecho a la protección de datos personales del denunciado"
"(...) el recelo que suscita el anonimato no puede impedir que la empresa, primero ponga en marcha un proceso de indagación interna reservada (...)"
Esta situación anómala de España en relación con el anonimato en las denuncias internas de organizaciones, se resuelve con la nueva Ley Orgánica de Protección de Datos de Carácter Personal que en estos momentos se encuentra en fase de tramitación parlamentaria. Su artículo 24 regula los sistemas de información de denuncias internas en el sector privado y recoge la posibilidad de que sean anónimas.
Esta medida histórica en nuestro país introduce un mecanismo que se considera esencial para la lucha contra el fraude económico. Y es que los casos de corrupción, además de provocar pérdidas financieras importantes, también ponen en tela de juicio la reputación del propio sistema económico. Por ello, además de permitir el anonimato en este tipo de denuncias, es necesario proteger legalmente a los "denunciantes de irregularidades" para crear un modelo efectivo que permita el cumplimiento normativo, algo de lo que tenemos que tomar nota desde ya todas las organizaciones comprometidas con la implementación un sistema eficiente de compliance.
Periódico Digital Expansión