¿El canal de denuncias debe contar con su propia política de privacidad? ¿Cómo debe ser la política de privacidad del canal de denuncias? En este artículo respondemos a estas y otras cuestiones relativas a la política de privacidad en los canales de denuncia internos de empresas y organizaciones.

¿El canal de denuncias debe tener una política de privacidad?

Sí, el canal de denuncias debe tener una política de privacidad, puesto que a través de este se realiza el tratamiento de los datos personales del denunciante (cuando este se identifica al presentar la denuncia), del denunciado y de cualquier persona que se cite como testigo o esté relacionada con los hechos.

Además, dado que los canales de denuncia son canales digitales, alojados en una página web, la política de privacidad es la forma con la que las empresas y organizaciones, como responsables del tratamiento, pueden cumplir con el principio de transparencia y el deber de informar que establece la normativa de protección de datos (junto con otras obligaciones establecidas en esta normativa que son de aplicación al canal de denuncias).

No podemos olvidar que, en lo que respecta al canal de denuncias y protección de datos, a través de este se tratan datos de carácter personal, cuya confidencialidad no solo debe conservarse para cumplir con el RGPD y la LOPDGDD, sino también porque así lo exige la propia la Directiva Whistleblowing y la Ley 2/2023, que la transpone a nuestro ordenamiento jurídico, para poder garantizar la protección de los denunciantes ante posibles represalias.

Por lo tanto, de igual forma que no puede faltar el protocolo del canal de denuncias, tampoco puede hacerlo la política de privacidad del canal de denuncias, que debe ser fácilmente accesible para los denunciantes (y cualquier persona interesada).

¿Cómo debe ser la política de privacidad del canal de denuncias?

La política de privacidad del canal de denuncias no se diferencia mucho de la política de privacidad de cualquier página web y, de hecho, la forma de redactarla sigue el mismo proceso; se debe determinar qué tipos de datos se van a tratar, los plazos de conservación, la finalidad, si los datos se comunicarán a terceros, etc., para plasmar el contenido de esta política en un documento que deberemos poner a disposición de los interesados de manera que sea fácilmente accesible.

Asimismo, la política de privacidad del canal de denuncias debe estar redactada en un lenguaje claro y sencillo, sin ambigüedades y tecnicismos.

En cuanto al contenido, la política del canal de denuncias debe contener, como mínimo, los siguientes puntos:

  • Datos identificativos del responsable del tratamiento: Será la empresa u organización a quien pertenezca el canal de denuncias (recordemos que el canal de denuncias obligatorio en España deben implementarlo empresas y organizaciones de 50 o más empleados, los partidos políticos y las administraciones públicas independientemente de su número de empleados, así como los ayuntamientos de más de 10.000 habitantes).
  • Introducción: En este apartado (que puede o no incluirse como tal) se describe el objetivo de la política de privacidad del canal de denuncias y se reseñan la legislación aplicable.
  • Qué datos se tratan: Informaremos del tipo de datos personales que se tratarán a través del canal de denuncias, tanto del denunciante como del denunciado y cualquier otra persona que se mencionará en la denuncia, y que, con carácter general, serán:
    • Datos identificativos
    • Datos de contacto
    • Datos relativos a los hechos denunciados
  • Finalidad y legitimación del tratamiento: Aquí informaremos de la finalidad del tratamiento (prevenir, detectar y corregir incumplimientos de la normativa vigente o de la normativa interna de la empresa u organización, así como tramitar e investigar la denuncia). Asimismo, la legitimación del tratamiento la encontraremos en el cumplimiento de una obligación legal (Ley 2/2023).
  • Plazo de conservación de los datos: Especificaremos cuánto tiempo permanecerán almacenados los datos en el sistema desde la presentación de la denuncia, tanto en el caso de que no se inicie una investigación como en el caso en que dé lugar a una proceso de investigación. Y el plazo durante el que se conservarán una vez finalizadas las actuaciones correspondientes.
  • Comunicación de datos a terceros: Informaremos de si vamos a comunicar o no los datos personales tratados en el canal de denuncias a terceros (en el caso de que el canal de denuncias lo gestione una empresa externa, deberá indicarse aquí como encargada del tratamiento).
  • Medidas de seguridad: Recogemos las medidas de seguridad que se aplicarán para mantener la confidencialidad, integridad y disponibilidad de los datos personales tratados a través del canal de denuncias.
  • Limitación al acceso de los datos: Especificaremos aquí que el acceso a los datos personales gestionados a través del canal de denuncias estará limitado solo a los órganos internos o personal competente dedicado a la gestión y tramitación de las denuncias internas. Y que solo en el caso de tomar medidas disciplinarias contra un empleado, podrán acceder a los datos el departamento de recursos humanos.
  • Derechos de los interesados: Recogemos los derechos que pueden ejercer los interesados (acceso, rectificación, supresión, limitación, portabilidad y oposición), cómo y a través de qué vía pueden ejercerlos y la posibilidad de reclamar ante la Agencia Española de Protección de Datos (AEPD).
  • Delegado de Protección de Datos: Identificaremos al Delegado de Protección de Datos de la entidad y especificaremos las vías a través de las cuales pueden ponerse en contacto con él.

¿Cómo poner la política de privacidad en el canal de denuncias?

La política de privacidad del canal de denuncias debe estar disponible y accesible desde la página que aloja el canal de denuncias, aunque también se puede incluir una mención y enlace a la misma desde la propia política privacidad de la página web corporativa de la organización. Asimismo, también puede incluirse mención y enlace a la misma en la política del canal de denuncias, en la sección correspondiente a protección de datos.

En general, es habitual que la política de privacidad se aloje como una subpágina del propio canal de denuncias, bajo el dominio de la empresa, o como un documento PDF al que se puede acceder mediante enlace facilitado en la propia web del canal de denuncias.

En cualquier caso, cómo decíamos, debe ser fácilmente accesible para cualquier persona interesada. Y en el momento de presentar la denuncia, el denunciante tiene que aceptar la política de privacidad (momento en que se puede facilitar el correspondiente enlace a la misma).

tarifas compliance

Ejemplos de política de privacidad del canal de denuncias

A continuación os dejamos varios ejemplos de política de privacidad del canal de denuncias de diferentes empresas:

Cómo veis, más allá de ese contenido mínimo, no hay un estándar sobre cómo deben titularse las secciones, el orden o cómo se presenta el contenido. Eso sí, nuestro consejo es que os fijéis en estos ejemplos, pero no los copiéis, ya que como ocurre con la política de privacidad de una página web, la política de privacidad del canal de denuncias debe estar completamente personalizada y cubrir la información de vuestra empresa u organización y sector de actividad.

Si tu empresa necesita implementar el canal de denuncias obligatorio (o quieres hacerlo de manera voluntaria, como compromiso con la ética y el cumplimiento normativo), Grupo Atico34 puede ayudarte en todo el proceso de implantación, puesta en marcha y gestión del canal de denuncias, tal y como establece la Ley 2/2023. Si tienes dudas o buscas más información, no dudes en ponerte en contacto con nosotros.