Desde que se hiciera obligatorio contar con un canal de denuncias para empresas con un número mayor de 50 empleados con la Directiva Europea 2019/1937 de 23 de octubre, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, (conocida como Directiva Whistleblowig), muchas dudas han surgido al respecto sobre este tipo de canales.
Sobre ellos, una de las prioridades es la de garantizar que los denunciantes o informantes de prácticas irregulares contrarias a la ley o al convenio colectivo que se producen en las empresas.
Por ello, para que la implantación de estos canales cumpla con sus objetivos y al mismo tiempo con la protección de datos personales la AEPD ha publicado algunas consideraciones a tener en cuenta para estos canales:
-Informar a los empleados: para que conozcan la existencia y cómo se tratan los datos en estos canales cuando se formula una denuncia. La forma en la que la empresa lo comunique puede ser en el contrato, mediante circulares o cualquier otra nota informativa.
-Respetar el principio de proporcionalidad y limitación de la finalidad: para asegurarse que el hecho denunciado tenga una verdadera relación entre la empresa y el denunciado. Posteriormente, la información no podrá utilizarse para otra finalidad que no sea la propia para la que se instaura el canal.
-Confidencialidad del denunciante: En los casos en los que la denuncia no sea anónima, se debe preservar la identidad del denunciante, para lo cual es necesario tomar medidas de seguridad y confidencialidad de la información.
-Limitación del acceso a la información: sólo debe tener acceso a la información de las denuncias aquella persona/s que se hubieran designado a tal efecto, y sólo se podrá comunicar a terceros para la tramitación de medidas disciplinarias o, en su caso, judiciales.
-Conservación y eliminación de datos: para que los datos se almacenen únicamente durante el tiempo de investigación de las posibles infracciones, durante un tiempo máximo de 3 meses en el propio canal.
Con estas pautas, además de los derechos propios de los usuarios como derecho de acceso, supresión, etcétera, serían las principales pautas a tener en cuenta de cara a proteger los datos personales de las personas implicadas.