En ese momento, había muchas preguntas que iban desde cómo se aplicarán las reglas hasta la presentación de denuncias a nivel nacional hasta cómo equilibrar los derechos de privacidad de los individuos contra la necesidad de las empresas de investigar.
La ambigüedad estaba allí, y esperábamos que después de la fecha de cumplimiento del GDPR, las Autoridades nacionales de protección de datos o DPA emitieran directrices sobre las mejores formas de implementar procedimientos de denuncia de irregularidades en cumplimiento de la nueva legislación. Ha pasado un año desde entonces, veamos cuánta claridad hemos obtenido hasta ahora.
Vale la pena señalar por adelantado que la Autoridad Alemana de Protección de Datos fue la única APD nacional que emitió una guíaespecífica relacionada con los denunciantes . Otros incorporaron comentarios menores en las pautas de «corriente principal» o hasta ahora no abordaron el problema en sus comunicaciones.
Interés legítimo . Como hemos visto en los casos de cumplimiento que escribí sobre la semana pasada, tener motivos legítimos para el procesamiento de datos es un área crucial para cualquier sector y es particularmente relevante en un contexto de denuncia de irregularidades.
De acuerdo con la guía alemana de DPA » On Whistleblowing Hotlines «, la recopilación de datos personales a través de una línea directa de whistleblowing está permitida si se relaciona con los siguientes temas: fraude, controles contables internos, asuntos de auditoría, corrupción y soborno, delitos bancarios y financieros, información comercio, violaciones de derechos humanos, preocupaciones ambientales y presunta violación de la ley contra la igualdad de trato. El regulador confirma que el procesamiento de los datos relacionados con estas violaciones es legítimo según el Artículo 6 (1) (f) porque el procesamiento es necesario a los efectos de los intereses legítimos perseguidos por el controlador. Desafortunadamente, el regulador no indicó si estos argumentos también podrían aplicarse a otros temas tales como violaciones de la ley de privacidad de datos, ley antimonopolio o casos de acoso.
Como hemos visto en el caso de Google , asegurar la transparencia en el procesamiento de datos es clave, lo cual es muy relevante para las instalaciones de denuncia de irregularidades. Los empleados deben conocer cómo se procesarán sus datos en el punto de contacto. Esta claridad se debe proporcionar en el Código de conducta, la política de denuncia de irregularidades u otras comunicaciones, incluidos los programas de capacitación.
Derechos del interesado . La APD alemana ha adoptado un enfoque muy particular para interpretar el Artículo 14 en relación con los datos personales que no se han obtenido del interesado. De conformidad con los requisitos del art. 14 (2) (f) , el regulador considera que la identidad del denunciante debe ser revelada a las personas mencionadas en el informe, y en particular a la persona alegada. Al mismo tiempo, la guía determina además que no existe una justificación legal para la divulgación del nombre de un informante; por lo tanto, se requerirá el consentimiento del informante.
Como resultado, un informante tiene dos opciones al enviar un informe: 1) identificarse y dar su consentimiento en el punto de contacto con la compañía que revela su identidad a la persona denunciada; o 2) enviar el informe de forma anónima. La segunda opción es fuertemente recomendada por el regulador que, de manera interesante, revirtió su posición en la información anónima de 180 grados.
En caso de que un informante decida tomar la primera opción, conserva el derecho de retirar el consentimiento en cualquier momento de conformidad con el Artículo 7 (3 ), sin embargo, dado el calendario de notificación de un mes, es poco probable que este derecho se ejerza en hora.
Luego de las críticas a esta posición que pueden dañar de manera desproporcionada a un informante, el regulador emitió una versión actualizada de la guía que ahora aborda varias exenciones al requisito de divulgación de identidad del informante, que incluye:
- La obligación puede posponerse de conformidad con el Artículo 14 (5) (b) en caso de que sea probable que haga imposible o perjudique gravemente el logro de los objetivos del procesamiento de datos. Una vez que la divulgación no puede comprometer más la investigación, la obligación de divulgación debe cumplirse.
- La obligación no se aplicará cuando los datos personales deban permanecer confidenciales sujetos a una obligación de secreto profesional regulada por la legislación de la Unión o del Estado miembro, incluida una obligación legal de secreto ( Artículo 14 (5) (d)) .
- De conformidad con la sección 1 (1) del artículo 29 de la Ley Federal de Protección de Datos de Alemania, la obligación no se aplicará en la medida en que cumplir con esta obligación revelaría información que, por su naturaleza, debe mantenerse en secreto, en particular, debido a los intereses legítimos primordiales de un tercero
Evaluación de Impacto de Protección de Datos (DPIA). Según el Artículo 35 (1) , donde un tipo de procesamiento puede dar lugar a un alto riesgo para los derechos y libertades de las personas físicas, el controlador tiene la responsabilidad de llevar a cabo la DPIA. Los DPIA se consideran herramientas importantes para la rendición de cuentas, ya que demuestran que se han tomado las medidas adecuadas para garantizar el cumplimiento de las disposiciones de GDPR.
Algunos de los DPA nacionales (por ejemplo, los de Francia y Alemania) han declarado específicamente que las instalaciones de denuncia de irregularidades representan un procesamiento de «alto riesgo» y, por lo tanto, requieren DPIA completos. Al menos para este requisito, es probable que tengamos un tratamiento idéntico a nivel de los Estados miembros.
Cómo puede ayudar el Reglamento de denuncia de irregularidades en toda la UE. El 16 de abril de 2019, el Parlamento Europeo votó con una mayoría abrumadora a favor de las nuevas normas de la UE para proteger mejor a los denunciantes que denuncian violaciones de la legislación de la UE. La Comisión Europea propuso por primera vez la Directiva de protección de denunciantes en toda la UE en abril de 2018. Entre otros beneficios, se espera que su introducción brinde una orientación importante sobre cómo interpretar ciertos requisitos de GDPR y aborde algunas de las dificultades mencionadas anteriormente, que incluyen:
- De conformidad con el artículo 4 , establecería los motivos legítimos para el tratamiento de los datos sobre la base del tratamiento establecido por el derecho de la Unión ( artículo 6, apartado 3, letra a), del GDPR).
- De conformidad con el Artículo 5 , resolvería la paradoja del derecho a ser olvidado frente al interés legítimo de conservar: la obligación de borrar los datos personales de una persona que lo solicite no se aplicará cuando el procesamiento sea necesario para el cumplimiento de una obligación legal que requiere el procesamiento por la legislación de la Unión o del Estado miembro al que está sujeto el controlador de datos ( Artículo 17 (3) (b) GDPR).
- La obligación de divulgar la identidad de un denunciante a las personas mencionadas en el informe puede que ya no sea aplicable. De conformidad con el Artículo 5 , habrá un requisito en virtud de la Ley de la Unión para mantener una facilidad de denuncia de irregularidades y procesar los datos de manera confidencial ( Artículo 14 (5) (c) GDPR).
En la actualidad, solo diez miembros de la UE: Francia, Hungría, Irlanda, Italia, Lituania, Malta, los Países Bajos, Eslovaquia, Suecia y el Reino Unido tienen leyes integrales de protección de denunciantes. El nuevo reglamento abordará la fragmentación existente de la protección de los denunciantes. La interacción de la directiva con GDPR, particularmente en relación con los derechos de los interesados, puede finalmente resolver la mayor parte de la ambigüedad y ayudar a establecer definiciones GDPR consistentes en todos los Estados miembros. Estos últimos tienen ahora dos años para transponer la Directiva a la legislación nacional con fecha de vencimiento del 15 de mayo de 2021.
ALD/FCPA