Como ya conocemos desde el año 2023 determinadas entidades están obligadas por la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción a contar con un Sistema interno de información/canal de denuncias. Estas entidades son las siguientes:
- Todas las entidades que integran el sector público.
- Las siguientes entidades del sector privado:
- Las que tengan contratados a 50 o más trabajadores.
- Aquellas que, aunque no lleguen a 50 trabajadores, entren en el ámbito de aplicación del Derecho comunitario en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales y de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente.
- Además, los partidos políticos, sindicatos, patronales y fundaciones creadas por ellos siempre que reciban o gestionen fondos públicos.
Si quieres ampliar información al respecto puedes hacerlo en otras entradas de nuestro blog, pinchando aquí.
En el presente articulo nos centraremos en la parte de protección de datos que han de cumplir estos sistemas de denuncias internos/canales de denuncias, que se basan en las siguientes normativas:
Para analizar en detalle el cumplimiento de las normativas indicadas realizaremos el estudio de una resolución sancionadora de la Agencia Española de Protección de Datos (AEPD), PS-00505-2024:
El procedimiento se inicia por la reclamación de dos trabajadoras de una entidad ante la AEPD, en dicha reclamación, la reclamante sostiene que la empresa ha vulnerado su derecho a la confidencialidad al divulgar su nombre completo junto a la palabra “denunciante” en el contexto de un proceso por acoso laboral.
Después de todo el proceso interno, la empresa informó al Comité de Empresa que el proceso había finalizado y adjuntó la resolución con los nombres, apellidos y puestos de trabajo de los 5 denunciantes, incluyendo a la reclamante.
Esta divulgación es el motivo principal de la reclamación, ya que expuso públicamente su identidad como denunciante. A mayores de estas cuestiones indica lo siguiente:
El Comité de Empresa le reenvió el correo con su resolución, pero la empresa también envió las resoluciones a 15 personas, incluyendo nombres y apellidos de denunciantes y denunciados, lo cual provocó que todo el centro de trabajo conociera su condición de denunciante. Como consecuencia de lo anterior, ese mismo día, uno de los denunciados escribió en un grupo de WhatsApp laboral un mensaje sarcástico: «Gracias por la denuncia», acompañado de un emoji de beso. A raíz de este hecho, la reclamante sufrió un ataque de ansiedad que terminó en baja médica. Finalmente, también se informó en otro grupo de WhatsApp que se había enviado un correo con los nombres de todos los implicados, sin mantener la confidencialidad. Aportando pruebas de todo lo indicado por parte de la reclamante.
Por supuesto, la reclamante alega que en ningún momento había prestado su consentimiento para que se divulgara esta información de su persona, por lo que todo ello atenta contra su confidencialidad.
A las alegaciones de la reclamante, la entidad reclamada sostiene que no hubo infracción en protección de datos, ya que todos los implicados conocían las identidades desde el inicio.
Admite que sus protocolos garantizan la confidencialidad y reconoce la importancia de mantener la paz laboral.
Destaca que la denuncia fue presentada por el Comité de Empresa sin solicitar anonimato.
Como medidas, ha puesto en marcha formación en protección de datos y ha enviado un texto de disculpa a los afectados.
Por lo tanto, en base a lo expuesto, la AEPD considera que de acuerdo con lo establecido en el artículo 4.1 y 4.2 del RGPD, consta la realización de un tratamiento de datos personales, toda vez que la parte reclamada realiza, entre otros tratamientos, la recogida y conservación de datos personales de personas físicas: nombre, apellido, puesto de trabajo, entre otros.
Considerándose por la AEPD que el hecho de que, durante un procedimiento de acoso laboral, la entidad reclamada reveló la identidad de denunciantes y denunciados al enviar las resoluciones del caso podría suponer una vulneración del artículo 5.1.f del RGPD, relativo a la confidencialidad e integridad de los datos personales.
El grado de negligencia en este caso se considera alto, atendiendo por parte de la AEPD para graduarlo a los datos de carácter personal revelados (condición de denunciante o denunciado en un proceso de acoso laboral) y las especiales exigencias de confidencialidad que deben de respetarse en procesos de acoso laboral.
Teniendo en cuenta lo indicado, la multa y su cuantía, de conformidad con las evidencias de que se dispone, teniendo en cuenta los criterios del artículo 83.2 del RGPD con respecto a la infracción cometida, vulneración del artículo 5.1.f) del RGPD, se considera conveniente una sanción de 200.000 euros.
La entidad reclamada se acoge a la reducción del 20 % de la sanción por pago voluntario y a la reducción del 20 % de la sanción por reconocimiento, por lo que finalmente la sanción se paga por cantidad de 120.000 euros.
En resumen, en el contexto de los sistemas de denuncias internos establecidos por la Ley 2/2023, la gestión adecuada de los datos personales es fundamental para garantizar la confidencialidad de los denunciantes y evitar vulneraciones del RGPD. En el caso expuesto, la empresa incumplió la normativa de protección de datos al revelar públicamente la identidad de los denunciantes y denunciados en un procedimiento de acoso laboral, lo que causó daños a la reclamante y expuso su privacidad sin consentimiento. La AEPD determinó que este acto violó el principio de confidencialidad del artículo 5.1.f del RGPD, imponiendo una sanción económica significativa de 120.000 euros, considerando el alto grado de negligencia y la sensibilidad de los datos involucrados. Este caso resalta la importancia de que las entidades implementen protocolos estrictos para la protección de los datos personales, especialmente en procedimientos tan delicados como los de acoso laboral, y la necesidad de asegurar que se respeten los derechos fundamentales de los afectados.
