_
_
_
_
Cinco Días
Economía
suscríbeteIniciar sesión
suscríbeteIniciar sesión
Economía
Tribuna
Artículos estrictamente de opinión que responden al estilo propio del autor. Estos textos de opinión han de basarse en datos verificados y ser respetuosos con las personas aunque se critiquen sus actos. Todas las tribunas de opinión de personas ajenas a la Redacción de EL PAÍS llevarán, tras la última línea, un pie de autor —por conocido que éste sea— donde se indique el cargo, título, militancia política (en su caso) u ocupación principal, o la que esté o estuvo relacionada con el tema abordado

Líneas éticas en las empresas y protección de datos

Pedro López Martín-Andino
Facebook
Twitter
Linkedin
Copiar enlace

Durante los últimos meses, numerosas empresas españolas han comenzado a implantar sistemas de líneas o buzones éticos que permitan a cualquier empleado denunciar aquellas conductas detectadas en el seno de su empresa y que, a su juicio, puedan levantar sospechas de vulnerar la ley o, incluso, el código de conducta interno de la compañía, todo ello garantizando la confidencialidad y, si así fuera necesario, el anonimato del denunciante.

El origen de esta iniciativa hay que encontrarlo en la sección 301(4) de la Ley Sarbanes-Oxley, que prevé el establecimiento de determinados sistemas internos de alarma, gráficamente denominados como whistleblowing procedures, a fin de detectar posibles irregularidades financieras y contables en las empresas. Dicha ley resulta de obligado cumplimiento para todas las empresas que cotizan en algún mercado de valores norteamericano, por lo que esta norma afectaría tanto a las grandes multinacionales españolas que cotizan en dichos mercados como a las filiales españolas de empresas multinacionales norteamericanas cotizadas.

Dentro de los aspectos legales a tener en cuenta en la implantación de las líneas éticas en España cobrarían especial relevancia las cuestiones derivadas de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). En este sentido sería necesario considerar aspectos derivados de la posible recogida de datos sensibles que, en principio, y de acuerdo con la LOPD, requerirían del consentimiento expreso por parte del interesado, así como los aspectos derivados del principio de calidad de los datos, esto es, que los datos recogidos sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas. También resultaría relevante tener en cuenta la posibilidad de que los afectados pueden llegar a exigir el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición respecto de los citados datos, lo cual podría llegar a colisionar, en algunos casos con la finalidad práctica de este tipo de líneas.

Es necesario precisar que el debate sobre esta cuestión no se ha planteado únicamente a nivel nacional, sino que también se ha suscitado en otros países comunitarios ya que las normativas internas en materia de protección de datos derivan en todos los casos de la Directiva 95/46.

Así, a nivel europeo hay que destacar algún caso de especial relevancia, como ha sido la resolución por la que la Commission Nationale de l'Informatique et des Libertés, CNIL, el equivalente francés de la Agencia Española de Protección de Datos, denegó a la filial francesa de la multinacional McDonald's una autorización para implantar una línea anónima de denuncia, si bien con posterioridad la propia CNIL se apresuró a publicar una deliberación con el fin de proporcionar unos criterios uniformes bajo los cuales dichas líneas podrían quedar autorizadas.

De la misma forma, el pasado 1 de febrero el denominado Grupo de Trabajo del artículo 29, que a nivel comunitario reúne a todas las autoridades nacionales en materia de protección de datos, ha adoptado un dictamen en el que también se recogen unos criterios similares que podemos resumir en los siguientes apartados:

l Las líneas éticas deberían quedar limitadas únicamente a la realización de denuncias relativas a irregularidades contables, financieras o relacionadas con auditoría de la empresa.

l Como regla general el denunciante debería ser una persona identificada, no debiéndose fomentar la realización de denuncias anónimas, si bien de forma excepcional, y bajo especiales cautelas, podría admitirse la realización de denuncias manteniendo el anonimato.

l Las empresas deberían disponer en su seno de una estructura organizativa y de los procedimientos necesarios que aseguren la confidencialidad y el mantenimiento de las medidas de seguridad correspondientes, siendo posible, asimismo, externalizar su gestión a terceras empresas que, igualmente, deberán cumplir con ciertos principios en materia de protección de datos.

l Las personas afectadas deberían ser informadas tan pronto como sea posible de la denuncia que se formule contra ellas y de determinados derechos que les asisten en materia de protección de datos, quedando a salvo en todo caso la posibilidad de adoptar con carácter previo determinadas medidas imprescindibles para conservar y asegurar las posibles pruebas.

Sería relevante que las empresas que hayan implantado en España este tipo de sistemas procedieran a revisar su conformidad con los criterios expresados en el mencionado dictamen, ya que éstos constituirían los límites dentro de los cuales la Agencia Española de Protección de Datos, integrante del referido Grupo de Trabajo, consideraría su admisibilidad a la luz de los principios de la LOPD.

Archivado En

_
_