Protección de datos
Las modificaciones del Código Penal que entrarán en vigor el próximo 23 de diciembre implican la responsabilidad penal de la empresa ante determinados ilícitos cometidos por sus subordinados cuando se hayan producido por la ausencia de los controles oportunos. La aplicación de programas de prevención y control de ilícitos penales pretende, precisamente, evitar o reducir esta responsabilidad y conduce, inevitablemente, a tratar datos personales especialmente sensibles en el marco de las investigaciones, que quedarán sujetos a la estricta normativa existente sobre esta materia.
El ejemplo más evidente está en los canales de denuncia, a través de los cuales llegan a tratarse datos de denunciante, denunciado, testigos y cualesquiera otros terceros involucrados en hechos irregulares. Recordemos que la aplicación de la normativa española sobre protección de datos personales no precisa que esos datos se almacenen en formato electrónico, sino que es suficiente con que se manejen en soporte papel.
El grupo de trabajo que se constituyó como órgano consultivo a raíz del artículo 29 de la Directiva 95/46, y que interviene en materia de protección de las personas en lo que respecta al tratamiento de datos personales, manifestó en su dictamen 1/2006 la aplicación de dicha normativa en el marco de las whistle-blowing lines o canales de denuncia. Es más, ha recomendado que las personas relacionadas con su gestión queden sujetas a un régimen especial de confidencialidad.
Estos antecedentes son extensibles a cualquier programa de defensa penal corporativa que precise el tratamiento de datos personales, debiendo observar estrictamente las normas en dicha materia, tales como la declaración de ficheros ante las autoridades competentes o garantizar los derechos a los afectados por ellas.
En este sentido, paradójicamente, el Case Management System (CMS) al que suelen confluir los procesos de investigación de ilícitos deberá cuidarse de informar a los afectados, en cierto momento del proceso, de que sus datos están siendo objeto de tratamiento a fin de que puedan éstos ejercer el habeas data, o acceso a sus datos personales.
En la medida que tal circunstancia puede perjudicar la investigación de hechos ilícitos, procede articular cuidadosamente el encaje de los derechos de los afectados en cuanto a protección de sus datos personales con las exigencia de control que proceden ahora de la normativa penal.
Alain Casanovas. Socio del área Legal de KPMG Abogados