Canal de denuncias interno:claves legales y protección de datos

Un canal de denuncias no es un simple formulario. Es una pieza de cumplimiento que debe permitir recibir, proteger, investigar y resolver informaciones sobre posibles infracciones, sin sacrificar la privacidad de quienes intervienen.

El nombre correcto importa: Sistema interno de información

En España, la Ley 2/2023 regula la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Aunque se utilice con frecuencia la expresión “canal de denuncias”, la norma configura un Sistema interno de información más amplio: incluye el canal de recepción, una política interna, un Responsable del Sistema, un procedimiento de gestión, medidas de confidencialidad y registros de las actuaciones realizadas.

Este enfoque evita un error habitual: implantar una dirección de correo o un buzón digital sin reglas claras de acceso, tramitación, conservación y respuesta. Un canal mal diseñado puede generar filtraciones, represalias, investigaciones deficientes, conflictos laborales y riesgos de responsabilidad en materia de protección de datos.

¿Qué entidades están obligadas a disponer de un canal interno?

Con carácter general, deben disponer de un Sistema interno de información las entidades privadas con cincuenta o más personas trabajadoras. También quedan obligadas determinadas entidades del ámbito financiero, de prevención del blanqueo de capitales, seguridad del transporte y protección del medio ambiente, con independencia de su plantilla. Todas las entidades del sector público deben contar con este sistema, con las posibilidades de compartición de medios previstas legalmente para determinados supuestos.

Las organizaciones no obligadas también pueden implantar un canal voluntario. En tal caso, no deberían crear una versión “informal” o de menor garantía: la Ley 2/2023 exige que el sistema voluntario respete igualmente sus requisitos. Crear un canal sin recursos, sin independencia y sin controles de privacidad puede ser peor que no tenerlo.

Privacidad y confidencialidad: dos obligaciones que no son idénticas

La confidencialidad protege la información y limita quién puede conocerla. La privacidad protege los datos personales y exige que todo tratamiento sea lícito, transparente, limitado a su finalidad y seguro. En un canal interno se tratan datos del informante, de la persona afectada, de testigos, de personas mencionadas y, en ocasiones, datos especialmente sensibles o datos vinculados a presuntas infracciones.

La Ley 2/2023 exige que el sistema garantice la confidencialidad de la identidad del informante, de cualquier tercero citado y de las actuaciones de gestión e investigación. Debe impedir el acceso del personal no autorizado. La identidad del informante no puede comunicarse a la persona a la que se refieren los hechos ni a terceros, salvo los supuestos legalmente previstos y con las garantías aplicables.

Esto no significa que toda investigación sea secreta frente a cualquier persona o autoridad. Puede ser necesario comunicar información a órganos disciplinarios, servicios jurídicos, autoridades administrativas, fuerzas y cuerpos de seguridad o juzgados. La regla práctica es sencilla: acceder o comunicar solo lo necesario, a quien tenga competencia y dejando evidencia de la decisión adoptada.

Base jurídica: el consentimiento no es la solución

El tratamiento de datos personales en el Sistema interno de información no debe basarse, con carácter general, en el consentimiento. En una relación laboral, jerárquica o de investigación, el consentimiento difícilmente ofrece la libertad necesaria y puede retirarse. La Ley 2/2023 establece la licitud del tratamiento cuando es necesario para aplicar la norma.

Cuando la entidad está obligada a disponer de un Sistema interno de información, el tratamiento de comunicaciones internas se apoya en el cumplimiento de una obligación legal, conforme al artículo 6.1.c del RGPD y a la normativa española aplicable. Cuando el sistema no sea obligatorio, la ley presume la licitud sobre la base del artículo 6.1.e del RGPD. Las categorías especiales de datos pueden tratarse por razones de interés público esencial, conforme al artículo 9.2.g del RGPD, pero esto no permite recopilar información sensible de manera indiscriminada.

La LOPDGDD, en su artículo 24, confirma que son lícitos los tratamientos necesarios para proteger a las personas que informen sobre infracciones normativas, remitiendo al RGPD, a la propia LOPDGDD y a la Ley 2/2023. La base jurídica no sustituye al resto de obligaciones: siguen siendo exigibles la minimización, la seguridad, la información y la responsabilidad proactiva.

Información a las personas y ejercicio de derechos

El canal debe ofrecer información de privacidad clara y accesible. A la persona informante debe explicársele, entre otros elementos, la finalidad del sistema, la identidad del responsable, el modo de ejercer sus derechos y la reserva de su identidad. Las personas trabajadoras y los terceros vinculados deben conocer que existe el sistema y cómo se tratan sus datos en este contexto.

La persona afectada conserva los derechos reconocidos en los artículos 15 a 22 del RGPD. Sin embargo, el ejercicio de estos derechos debe gestionarse sin revelar la identidad del informante ni frustrar la confidencialidad, la investigación o la protección de otras personas. Conviene que el procedimiento interno establezca un circuito de respuesta coordinado entre el Responsable del Sistema, el área jurídica y el Delegado de Protección de Datos, cuando exista.

Accesos limitados: el principio de “necesidad de conocer”

La Ley 2/2023 delimita expresamente el acceso a los datos personales del sistema. Debe limitarse al Responsable del Sistema y a quien gestione directamente el canal. Recursos Humanos solo debe acceder cuando pueda proceder una medida disciplinaria contra una persona trabajadora. Los servicios jurídicos accederán cuando sea necesaria una actuación legal. También pueden intervenir los encargados del tratamiento contratados y el Delegado de Protección de Datos, dentro de sus funciones.

En la práctica, esto exige perfiles de usuario diferenciados, doble factor de autenticación, registro de accesos, segregación de expedientes, permisos temporales, bloqueo de descargas no justificadas y revisión periódica de privilegios. Enviar comunicaciones mediante correo compartido, hojas de cálculo abiertas o grupos de mensajería es incompatible con el nivel de control que requiere este tratamiento.

Conservación: ni borrar antes de tiempo ni guardar para siempre

Los datos deben mantenerse en el sistema solo durante el tiempo imprescindible para decidir si procede iniciar una investigación. Los datos no necesarios, las comunicaciones ajenas al ámbito de la Ley 2/2023 y la información sensible recogida indebidamente deben suprimirse sin demora. Si se inicia una investigación, la información necesaria puede trasladarse al expediente o repositorio que corresponda, con controles adecuados y una política de conservación diferenciada.

La entidad obligada debe contar además con un libro-registro de informaciones recibidas e investigaciones internas, con confidencialidad reforzada. Los datos personales no pueden conservarse en ese marco más de diez años y siempre deben respetar los criterios de necesidad y proporcionalidad. La conservación debe justificarse caso a caso; no basta con aplicar un plazo genérico a todos los expedientes.

¿Es obligatoria una evaluación de impacto?

La implantación de un canal interno no activa automáticamente una Evaluación de Impacto en Protección de Datos (EIPD) por el solo hecho de existir. La obligación nace cuando el tratamiento puede entrañar un alto riesgo para los derechos y libertades de las personas, conforme al artículo 35 del RGPD. En estos sistemas confluyen factores que suelen elevar el riesgo: posible anonimato, información sobre infracciones, relaciones laborales, datos de terceros, medidas disciplinarias, accesos restringidos y consecuencias reputacionales o profesionales.

Por ello, antes de poner el canal en producción, la organización debe realizar al menos un análisis de riesgos documentado. Una EIPD será especialmente recomendable y puede ser exigible cuando el sistema trate de forma recurrente datos sensibles, permita denuncias complejas a gran escala, use herramientas de análisis automatizado, integre información de diversas fuentes, afecte de forma intensa a personas trabajadoras o tenga un impacto relevante en los derechos de las personas investigadas. Si tras aplicar medidas subsiste un alto riesgo, debe valorarse la consulta previa a la autoridad de control.

Medidas de proporcionalidad y ciberseguridad

La seguridad del canal debe responder al riesgo real. No es proporcionado habilitar accesos generalizados “por si acaso”, ni tampoco implantar controles tan rígidos que impidan investigar con eficacia. El equilibrio se logra con privacidad desde el diseño y por defecto: recoger los datos estrictamente necesarios, separar funciones, cifrar la información, limitar accesos, documentar decisiones y revisar los controles de manera periódica.

  • Canal accesible por escrito y, cuando proceda, verbalmente; con posibilidad de preservar el anonimato conforme al diseño legal.
  • Política del Sistema interno de información aprobada por el órgano de administración o gobierno y debidamente difundida.
  • Responsable del Sistema designado con independencia funcional y recursos suficientes.
  • Procedimiento de gestión con acuse de recibo, comunicaciones seguras, investigación diligente y respuesta dentro de los plazos legales.
  • Contrato de encargo del tratamiento y evaluación del proveedor cuando se externalice la plataforma o la recepción de informaciones.
  • Cifrado en tránsito y en reposo, autenticación robusta, copias de seguridad seguras, registros de actividad y pruebas periódicas.
  • Plan de gestión de brechas de seguridad que contemple la evaluación y, cuando proceda, la notificación a la autoridad y a las personas afectadas.

Plazos operativos que conviene controlar

El procedimiento debe permitir acusar recibo de la comunicación en un plazo máximo de siete días naturales, salvo que ello pueda poner en peligro la confidencialidad. La respuesta a las actuaciones de investigación no debe superar tres meses desde el acuse de recibo o, si no se envió, desde el vencimiento de ese plazo; en casos de especial complejidad puede ampliarse hasta un máximo de otros tres meses. Estos plazos no sustituyen los que puedan aplicar a procedimientos laborales, administrativos o penales concretos.

Errores frecuentes que ponen en riesgo el sistema

  • Tratar el canal como un buzón genérico, sin Responsable del Sistema ni procedimiento aprobado.
  • Permitir acceso indiscriminado a dirección, mandos, Recursos Humanos o administración.
  • Prometer anonimato sin que la herramienta, la configuración y el procedimiento lo preserven realmente.
  • Solicitar más datos de los necesarios o conservar comunicaciones irrelevantes.
  • No informar a plantilla, proveedores y otros potenciales informantes de la existencia del sistema y de sus garantías.
  • Externalizar la plataforma sin regular adecuadamente el encargo de tratamiento, los accesos, la ubicación de los datos y la gestión de incidentes.
  • Confundir la protección del informante con la ausencia de garantías para la persona afectada.

Conclusión: confianza, investigación y derechos deben convivir

Un canal interno bien implantado fortalece la cultura de cumplimiento, permite detectar riesgos antes de que escalen y favorece una respuesta ordenada ante posibles incumplimientos. Pero su legitimidad depende de que las personas confíen en él: que sepan cómo usarlo, que no sufran represalias, que sus datos estén protegidos y que las investigaciones se realicen con imparcialidad y proporcionalidad.

El objetivo no es vigilar a la plantilla ni crear un archivo permanente de sospechas. El objetivo es disponer de un mecanismo seguro para proteger el interés general, la integridad de la organización y los derechos de todas las personas implicadas.

#sipylopd #SIPY #CanalDeDenuncias #Ley22023 #ProteccionDeDatos

Facebook
Twitter
LinkedIn
Email
WhatsApp
Telegram
Skype
Print