Canal de denuncias y protección de datos

·

El canal interno de información debe proteger simultáneamente a informantes, personas afectadas y terceros. La Ley 2/2023 aporta la base y reglas específicas, pero no convierte el sistema en un archivo ilimitado. La empresa debe limitar accesos, separar recepción e investigación, informar sin revelar la identidad del informante, controlar plazos y documentar cada cesión.

Sistema interno, canal y expediente

La Ley 2/2023 distingue el sistema interno de información, el canal de recepción y el procedimiento de gestión. Desde la perspectiva de privacidad conviene separar cada pieza:

  1. Buzón/canal: recibe la comunicación.
  2. Registro restringido: conserva metadatos y estado.
  3. Investigación: expediente con acceso por necesidad.
  4. Medidas posteriores: disciplinarias, legales o de mejora.
  5. Evidencias bloqueadas: cuando proceda por responsabilidades.

No todo lo recibido debe circular por el expediente ni conservarse con el mismo plazo.

Responsable y gobierno

La entidad obligada suele ser responsable del tratamiento. El órgano de administración implanta el sistema y designa a la persona responsable del sistema en los términos de la Ley.

Deben definirse con claridad los siguientes roles:

FunciónResponsabilidad
Órgano de gobiernoPolítica, recursos e independencia
Responsable del sistemaGestión diligente y acceso controlado
InstructorInvestigación del caso asignado
DPOAsesoramiento y supervisión independiente
IT/seguridadPlataforma, accesos e incidentes
ProveedorOperación por cuenta de la entidad si es encargado

El DPO no debe ser automáticamente instructor de todos los casos: podría comprometer su independencia o su capacidad.

Base jurídica y datos sensibles

El artículo 30 de la Ley 2/2023 regula el tratamiento de datos personales en el sistema interno de información. Según el sujeto obligado y el contexto, la base jurídica se vincula al cumplimiento de una obligación legal o al interés público. No debe presentarse el consentimiento como fundamento de un canal de carácter obligatorio.

Las comunicaciones pueden contener datos de salud, afiliación sindical, orientación, datos penales o información íntima. Debe evitarse solicitar categorías de datos innecesarias y aplicar una protección reforzada a las que resulten inevitables.

Los datos que manifiestamente no sean pertinentes para tramitar una información no deben conservarse. Si llegan por iniciativa del informante, se evalúan y se eliminan cuando no sean necesarios.

Información y transparencia

La política del canal debe explicar, como mínimo:

La información debe ser clara y accesible. No debe prometerse un anonimato absoluto si la configuración técnica o la investigación no pueden sostenerlo.

Confidencialidad de la identidad

El acceso a la identidad del informante se limita a las personas autorizadas. No se comunica a la persona afectada como parte del derecho de acceso. Cualquier revelación legalmente necesaria debe restringirse al mínimo imprescindible y documentarse.

Las notificaciones, los calendarios y los nombres de los archivos pueden revelar indirectamente la identidad. La confidencialidad debe abarcar también los metadatos, la voz, el estilo de redacción, el puesto y el contexto.

Accesos mínimos

La dirección no debe tener acceso general por jerarquía. Solo deben acceder las personas previstas por la ley y por el procedimiento, según necesidad.

Recepción y acuse

El canal debe permitir comunicaciones escritas o verbales en los términos aplicables. Si se graba una comunicación, debe informarse previamente y protegerse el registro. También puede documentarse mediante transcripción completa y exacta, ofreciendo a la persona informante la posibilidad de comprobarla, rectificarla y aceptarla según prevé la Ley.

El acuse de recibo y las comunicaciones posteriores no deben exponerse por correo ordinario. Debe utilizarse un buzón seguro o un identificador de caso.

Admisión e investigación

La evaluación inicial determina el ámbito, la pertinencia, los posibles conflictos, la urgencia y las medidas de protección necesarias. Si se inadmite la comunicación, se conserva solo la evidencia necesaria de la decisión durante el plazo procedente.

Durante la investigación:

La persona investigada recibe información en el momento y en la forma que no frustren la investigación, respetando la Ley y sus derechos.

Conservación

La Ley establece reglas específicas para los datos del sistema. La información puede mantenerse en el canal solo durante el tiempo imprescindible para decidir si se inicia una investigación, con el límite legal aplicable; después debe suprimirse del canal, sin que ello impida conservarla en el expediente de investigación cuando sea necesaria.

El régimen de conservación debe diferenciar, al menos:

No se aplica un plazo único ni una conservación indefinida. Antes de publicar cifras concretas conviene verificar el artículo vigente y el procedimiento interno.

Derechos

El derecho de acceso no permite conocer la identidad del informante. Los derechos de rectificación o supresión pueden limitarse por obligaciones legales, por necesidades de la investigación o por defensa. Cada solicitud debe analizarse y responderse de forma motivada.

La plataforma debe permitir localizar los datos afectados sin entregar el expediente completo de terceros.

Proveedores

Si una plataforma opera por cuenta de la empresa, necesita un contrato conforme al artículo 28 del RGPD. Deben revisarse, entre otros aspectos:

La plataforma no sustituye al procedimiento ni a la persona responsable del sistema.

Grupos de empresas

La Ley permite determinadas fórmulas compartidas, pero cada entidad del grupo debe definir su propia responsabilidad, acceso y tratamiento. Un canal de grupo no justifica que la matriz acceda de forma indiscriminada a los casos de sus filiales.

Deben existir reglas claras de asignación de casos, gestión de conflictos, transferencias internas y uso de equipos comunes.

Seguridad e incidentes

Entre las amenazas habituales destacan:

El plan de gestión de brechas debe considerar el riesgo especial de represalias. Debe preservar la evidencia, revocar accesos, evaluar a las personas afectadas y decidir sobre la notificación.

Plan de implantación

1. Gobierno

Política, responsable del sistema, DPO, gestión de conflictos y recursos.

2. Diseño

Canales, accesos, anonimato, procedimiento, conservación y derechos.

3. Proveedor

Due diligence, contrato y configuración segura.

4. Pruebas

Comunicación anónima, gestión de conflictos, control de accesos, investigación, cierre, exportación y borrado.

5. Operación

Formación, métricas, auditoría y revisión periódica.

Métricas prudentes

No deben publicarse estadísticas que permitan la reidentificación en organizaciones pequeñas.

Errores frecuentes

  1. Usar un correo compartido.
  2. Dar acceso a toda la dirección.
  3. Pedir consentimiento como base del canal.
  4. Prometer un anonimato que no está garantizado.
  5. Conservar todo en el buzón sin depurar.
  6. Revelar la identidad por metadatos.
  7. Confundir el canal con el expediente.
  8. Contratar una plataforma sin procedimiento.
  9. No gestionar los conflictos de interés.
  10. Ignorar los derechos de la persona afectada.

Checklist

Preguntas frecuentes

¿Puede ser anónimo?

Sí, el sistema debe permitir comunicaciones anónimas en los términos de la Ley. La plataforma y el procedimiento deben protegerlo técnicamente.

¿Puede conocer la identidad la persona denunciada?

El derecho de acceso no incluye revelar la identidad del informante.

¿Cuánto se conserva la información?

Depende de la fase y la finalidad. El canal y la investigación deben separarse y aplicarse los límites específicos que marcan la Ley y las responsabilidades del caso.

¿Puede gestionarlo un tercero?

Sí, con contrato, garantías y sin que ello desplace la responsabilidad de la entidad.

Fuentes oficiales consultadas

Summum Consultoría puede revisar el gobierno, la privacidad, el proveedor y el procedimiento del canal sin asumir decisiones reservadas a la persona responsable del sistema.