Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar las cookies" para disfrutar de esta web con todas las cookies, o configura tus preferencias antes de aceptarlas.

Gestión de Cookies
Zona Privada Asociados   |   Boletines Compliance
 
FORMULARIO DE CONTACTO
Deseo suscribirme al Newsletter de la WCA
 

Nueva Directiva Europea sobre la protección de los denunciantes: ¿Por qué un correo electrónico ya no es suficiente como medio para recibir denuncias?

En la actualidad, estamos experimentando la necesidad de luchar contra la corrupción y de contar con organizaciones más transparentes, justas y financieramente sólidas, entre otros aspectos importantes como el respeto al medio ambiente y la lucha contra la discriminación y el acoso.

 

El canal de denuncia ha demostrado ser una herramienta muy útil cuando se trata de recopilar notificaciones de los denunciantes sobre violaciones de la normativa ética o del código de conducta de la organización.

 

Considerando la ley orgánica 3/2018, el RGPD y la próxima transposición a la legislación española de la Directiva Europea sobre la protección de los denunciantes de irregularidades, quisiera demostrar que ya no basta con disponer de un correo electrónico como mecanismo de recopilación de denuncias, sino que es importante aplicar un instrumento de gestión de las mismas que garantice la confidencialidad y la seguridad de la información, manteniendo al mismo tiempo la adecuación a las políticas, reglamentos y procedimientos internos establecidos, así como el cumplimiento de las normas y las legislaciones vigentes.

 

Cabe señalar que el 7 de octubre de 2019, el Consejo de la Unión Europea aprobó oficialmente nuevas normas sobre la protección de los denunciantes contra las represalias en una amplia gama de sectores.  Antes del 17 de diciembre de 2021, los Estados miembros, deberán incorporar las nuevas normas de esta Directiva a su legislación nacional y deberán ser aplicables a todas las entidades, públicas y privadas, con más de 50 empleados. En el caso de las personas jurídicas del sector privado con 50 a 249 empleados, los Estados Miembros pueden esperar hasta el 17 de diciembre de 2023.

 

Los principales elementos de la Directiva Europea sobre la protección de los denunciantes son los siguientes:

 

Creación de canales de denuncia dentro de las entidades publicas y privadas: Se requiere crear canales de denuncia efectivos y eficientes en las empresas de más de 50 empleados y en todas las entidades jurídicas del sector público. Esto contribuirá al desarrollo de una cultura corporativa saludable. Los Estados Miembros podrán quedar exentos de la obligación en el caso de los municipios con menos de 10.000 habitantes o menos de 50 empleados, o de otras entidades jurídicas del sector público con menos de 50 empleados;

 

Jerarquía de canales de denuncia: Se alienta a los denunciantes a que utilicen primero los canales internos de su organización, antes de recurrir a los canales externos que los gobiernos están obligados a establecer. En cualquier caso, los denunciantes no perderán su protección si deciden utilizar primero los canales externos;

 

Muchos perfiles protegidos por las nuevas normas: Entre las personas protegidas figuran personas con diversos perfiles que podrían adquirir información sobre delitos en un contexto laboral, por ejemplo, empleados, incluidos funcionarios a nivel nacional/local, voluntarios y pasantes, miembros no ejecutivos, accionistas, etc.

 

Un amplio alcance: Las nuevas normas abarcarán áreas como la contratación pública, los servicios financieros, la prevención del blanqueo de dinero, la salud pública, etc. En lo que respecta a la seguridad jurídica, en un anexo de la Directiva figura una lista de todos los instrumentos legislativos de la UE cubiertos. Los Estados Miembros pueden ir más allá de esta lista al aplicar las nuevas normas.

 

Medidas de apoyo y protección para los denunciantes: Las normas introducen garantías para proteger a los denunciantes de las represalias, como la suspensión, la degradación o la intimidación. También se protege a los que ayudan a los denunciantes, como los colegas y los familiares. La Directiva también incluye una lista de medidas de apoyo que se pondrán en práctica para los denunciantes.

 

Obligaciones de retroalimentación para las autoridades y las empresas: Las normas crean la obligación de responder y dar seguimiento al denunciante en un plazo de 3 meses (con la posibilidad de ampliarlo a 6 meses para los canales externos en casos debidamente justificados).

 

¿Por qué es necesario establecer un sistema de obtención y gestión de denuncias y por qué una simple dirección de correo electrónico ya no es suficiente para satisfacer la protección de los denunciantes?

 

La posibilidad de hacer una denuncia anónima: Es posible hacer una denuncia anónima en España, en aplicación con la Ley orgánica 3/2018 (para mayor información, ver articulo de la WCA: http://www.worldcomplianceassociation.com/1569/articulo-el-canal-de-denuncias-en-la-nueva-ley-organica-de-proteccion-de-datos-personales.html#googtrans(es|en). Sin embargo, este derecho está limitado en el caso de utilizar un correo electrónico como canal de denuncia, porque el denunciante tendrá que identificarse haciendo reconocible su correo electrónico, a menos que haya creado un correo electrónico falso. Un sistema de denuncia debe permitir al denunciante informar de forma anónima, con los mecanismos para un diálogo bidireccional anónimo, si este es requerido, a través de la plataforma (utilizando un identificador y una contraseña configurados al crear una denuncia).

 

Acuse de recibo dentro de los 7 días de recepción de la denuncia: El responsable asignado por la organización debe emitir un acuse de recibo al denunciante en un plazo no superior a 7 días. Se puede hacer mediante un correo electrónico, si usted tiene muy pocas denuncias, pero con el riesgo de olvidarse de hacerlo. Por consiguiente, es aconsejable disponer de un sistema de gestión de las denuncias que genere un acuse de recibo automático al momento que el denunciante envía un informe.

 

La necesidad de la trazabilidad y la auditoría interna: El cumplimiento de la RGPD obliga a preservar la trazabilidad de los intercambios y verificaciones realizadas. Así pues, un buen marco de Compliance exige un sistema de control interno y evaluaciones de las medidas aplicadas. Una de las mejores prácticas de esta última consiste en asegurar que se respeten los procedimientos de recolección y gestión de las denuncias mediante la auditoría de las actividades realizadas, protegiendo al mismo tiempo el acceso a los datos personales. Por consiguiente, es esencial poder contar con un sistema de gestión de las denuncias que produzca un registro de las actividades realizadas. Esto sería muy difícil de establecer a partir de la administración de una cuenta de correo electrónico.

 

Obligaciones de proporcionar información al denunciante en un plazo razonable: La Directiva europea sobre la protección de los denunciantes exige que se proporcione información al denunciante en un plazo de tres meses a partir del acuse de recibo. 

Dependiendo de la complejidad de su organización, es posible que tenga que delegar el seguimiento o la investigación de la denuncia a varios colaboradores internos y/o externos (Compliance Officer, Investigador, Jurídico, Recursos Humanos, Director Financiero, etc.). Por lo tanto, es necesario poder programar recordatorios a los encargados de los casos para que den un seguimiento con el denunciante dentro del plazo requerido. Es una tarea externa que no puede ser realizada mediante una cuenta de correo electrónico pero que debería ser una función programable en una herramienta de gestión de casos.

 

Crear confianza en la organización - Confidencialidad y seguridad de la información: Este es el punto más importante en la implementación de un sistema de canal de denuncias; si no se crea la debida confianza con los empleados y terceros en que cualquier información recogida en el sistema de denuncias será tratada de forma confidencial, sin represalias, respetando la protección de los denunciantes, es muy probable que no reciba denuncias. Por lo tanto, perderá la oportunidad de detectar una violación a tiempo y poder reaccionar de forma proactiva.

La Directiva Europea sobre la protección de los denunciantes exige que se establezcan procedimientos de presentación de informes y de vigilancia para garantizar la confidencialidad de la información a fin de proteger al denunciante. Esta Directiva también ofrece a los denunciantes el derecho de hacer una denuncia externa a las autoridades competentes si consideran que los canales internos de la organización no se harán cargo eficazmente de la infracción denunciada y/o si consideran que existe un riesgo de represalias.

Eso significa que, si no logra convencer que sus canales internos y su procedimiento de recopilación y procesamiento de denuncias son fiables, se arriesga a que el denunciante lleve a cabo la denuncia a través de una denuncia externa, generando riesgos incalculables para su organización. 

 

Algunas preguntas importantes que tomar en cuenta y a resolver:

¿Una cuenta de correo electrónico permite crear confianza a las personas que quieran realizar una denuncia?

¿Cómo garantizará que los accesos IP de los denunciantes no serán identificados? ¿Cómo garantizar la seguridad de la información generada por las denuncias y por la gestión de estas?

 

Sobre este último punto, definitivamente, un servidor de correo electrónico no es una herramienta de protección de datos a menos que esté encriptado. Aún así, es necesario, durante la investigación del caso, evitar enviar un correo electrónico a cualquier persona, para evitar envíos a la persona equivocada, por ejemplo, dejando así al descubierto la confidencialidad de dicha información. Por consiguiente, la mejor práctica desde el punto de vista de la confidencialidad y la seguridad de la información, y teniendo en cuenta los costos de implementación y mantenimiento de una herramienta para canales de denuncias, sería alojar un sistema con un tercero, en modo SaaS, que esté certificado por la norma ISO 27001 (Gestión de la Seguridad de la Información) y que cumpla con la normativa del RGPD, que garantice que todos los datos estén cifrados y sólo sean accesibles por personas autorizadas, y que demuestre que los servidores se someten periódicamente a pruebas contra ataques (PenTest) por parte de un proveedor de servicios externo cualificado.

 

Por último, me gustaría destacar la importancia de utilizar una herramienta que permita la gestión de los casos, es decir: 

- La recopilación segura de las denuncias: a través de una página de inicio y un cuestionario en la web, un mensaje telefónico, la recepción de un correo electrónico o una entrevista oral. Todos estos canales deben permitir la centralización de la información por casos numerados en un solo sistema de gestión de casos;

- El acceso al sistema de gestión de las denuncias tiene que ser restringido únicamente a las personas autorizadas, caso por caso, mediante un ID de usuario y una contraseña, y de ser posible con una autenticación de dos factores;

- La posibilidad de denunciar de forma anónima con comunicación bidireccional;

- La generación de un registro de auditoría completo para cada caso;

- La capacidad de configurar el sistema de gestión de casos y adaptarlo al procedimiento interno de recolección y gestión de las denuncias, respetando el ciclo de gestión correspondiente (casos no leídos, casos procesados, casos cerrados y casos suprimidos), y

- Generación automática de informes con tablero de estadísticas (Dashboard).

 

Claudio Interdonato

Director general de Got Ethics – Europa del Sur

ci@gotethics.com

Visitenos en: gotethics.com

 

Foto de Guillaume Périgois en Unsplash

 


 
Patrocinadores
Colaboradores
Entidades Asociadas