La nueva LOPD regula el tratamiento de datos personales en los canales de denuncia internos (Corporate Compliance) en su artículo 24 “Sistemas de información de denuncias internas”.

 

Se permite la denuncia anónima, que en la anterior regulación fue puesto en entredicho.

 

Aspecto fundamental es informar tanto a empleados como terceros acerca de la existencia del canal de denuncia.

 

El acceso a los datos contenidos en las denuncias queda limitado al Compliance Officer, ya sea interno o externo. La única excepción es el acceso de otros distinto a aquel, cuando fuera necesario para la adopción de medidas disciplinarias (p.e. RR.HH.) o para la tramitación de los procedimientos judiciales.

 

Deben adoptarse las medidas necesarias para preservar la identidad y confidencialidad de los datos de las personas afectadas.

Servicios de Compliance

En cuanto al plazo de conservación, marca la ley que debe ser por el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados, y como máximo, tres meses desde la denuncia.

 

Si a la denuncia se le da curso, pueden ser conservadas para dejar evidencia del funcionamiento del modelo de prevención de la entidad.

 

Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada.

 

Una vez transcurrido los tres meses máximos, los datos se suprimirán del canal de denuncia, y serán tratados por el órgano al que corresponda la investigación.