Por Andrés Saravia Morales
La mayoría de los países se encuentran en pleno proceso de adoptar nuevas leyes de protección de datos o están a estas alturas, adaptando su legislación anterior para cumplir con los efectos del RGPD, como por ejemplo, las transferencias de datos de un país adecuado a un país no adecuado para los fines de la protección de la privacidad. Pero, mientras esto sucede en todo el mundo, la Unión Europea avanza hacia otra fase para optimizar la protección a la privacidad del titular de los datos: pronto comenzaremos a adoptar Canales de denuncia de irregularidades (Whistleblower Channels) para todos los derechos y áreas (incluida la Protección de datos) para ejecutar el cumplimiento de Ley, Ordenanzas y Códigos, publicado durante este 2021.
Picture 1 The US Capitol. Author: F. Malotaux, The Netherlands
En abril de 1989, se firmó la Ley de Protección de Denunciantes (Whistleblower Protection Act como Ley Federal para proteger a los denunciantes cuando los trabajadores (especialmente del Gobierno) tenían que "denunciar la posible existencia de una actividad que constituya una infracción de la ley, normas o reglamentos, o mala gestión, grave despilfarro de fondos, abuso de autoridad o un peligro sustancial y específico para la salud y la seguridad públicas ”.
En la actualidad, otros países han publicado leyes o mecanismos para los denunciantes de irregularidades para recibir información sobre irregularidades y al mismo tiempo proteger al denunciante, como India (Whistle Blowers Protection Act, 2011), por ejemplo.
Un denunciante “es una persona, generalmente un empleado, que expone información o actividad dentro de una organización privada, pública o gubernamental que se considera ilegal, ilícita, insegura o un despilfarro, fraude o abuso de los fondos de los contribuyentes. Aquellos que se convierten en denunciantes pueden optar por hacer surgir información o denuncias, ya sea interna o externamente”.
La Unión Europea y Los Canales De Denuncia
Hoy es otra historia para la Unión Europea (UE), que ciertamente sentará las bases con Directivas o Reglamentos que afectarán no solo a los miembros del bloque, sino también a otros países fuera de su espacio, cuando una cuestión de cumplimiento o incumplimiento en relación a la protección del Whistleblower, hará que colisionen entre sí, diferentes Jurisdicciones.
Si se adoptan los canales de denuncia de irregularidades como un medio para mejorar la protección de datos, será cuestión de tiempo el hecho de invitar (por no decir “hacer cumplir”) a otras naciones a seguir ese camino, como sucedió con el RGPD y sus efectos en todo el mundo.
Pero, ¿por qué una empresa o una organización adoptaría un canal de denuncia de irregularidades (junto con otros usos más comunes) para exponer incumplimientos a la ley de protección de datos o en otras áreas del derecho? Debido al Reglamento General de Protección de Datos en sí: éste exige que la protección de datos desde el diseño y por defecto sean ahora la única vía posible para aceptar el cumplimiento. Esto es parte de la Protección de Datos Proactiva (no reactiva) que toda empresa, pública o privada debe garantizar y demostrar para cumplir con el RGPD y evitar severas multas económicas (incluida la falta de notificación por brechas de seguridad de los datos, a sus afectados). La protección proactiva de datos incluye la adopción de salvaguardas de privacidad y seguridad que deben documentarse correctamente.
Lo que acabamos de describir, debería ser fácil de garantizar cuando se adopta un canal de denuncia de irregularidades para recibir información sobre la violación de la privacidad de los datos internos (por ejemplo, una Evaluación de Impacto en la Protección de datos que nunca se ejecutó; o que existe un trabajador que no cierra su sesión cuando deja ordenador descuidado en su área de trabajo, especialmente cuando se están tratando datos sensibles; o que se haya detectado una brecha de seguridad de la información, pero no se comunicó a los afectados). Además, utilizar un canal como este puede reducir los costos asociados al tratamiento de datos personales, ya que no será necesario ejecutar auditorías internas o externas en un corto período de tiempo, o evitar altas multas económicas por no cumplir con el RGPD o con la Ley 18.331 sobre Protección de Datos Personales y Acción de Habeas Data. Descubrir las infracciones a tiempo permite a la empresa adoptar soluciones internas de forma rápida y corregir aquello que viola un derecho fundamental, siendo "proactiva" pero no reactivo.
Otro punto que una empresa debe tener en cuenta en este caso, es el de preocuparse por cuidar y mantener su reputación externa: ser proactivo con la protección datos y con la protección de los denunciantes siempre dejará una buena impresión que repercutirá en el balance anual de manera positiva.
Los Próximos Pasos Para Adoptar Canales De Denuncias (Whistleblower Channels)
Algunos países que pertenecen al bloque de la Unión Europea están adoptando posiciones más tempranas para desplegar canales de denuncia de irregularidades en el sector privado. Pero este no es el único paso, ya todo el bloque está listo para adoptar legislaciones que obliguen a las empresas y al sector público a tener sus propios canales para fortalecer la protección de los derechos fundamentales, y eso incluye la protección de datos y la autodeterminación informativa.
En este sentido, la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, sobre la protección de las personas que denuncien infracciones del Derecho de la Unión, será plenamente efectiva para todos los países a partir del 17 de diciembre de 2021. Y ese es un paso importante para todos los países dentro y por supuesto fuera del bloque. ¿Por qué? Porque estamos hablando de leyes más estrictas para proteger las libertades fundamentales, como sucedió hace casi 3 años con la publicación del RGPD: ni siquiera el Privacy Shield celebrado entre Estados Unidos y la Unión Europea pudo mantenerse vigente. Si se considera que un país fuera del bloque no es adecuado para proteger los datos personales, ese país no podrá celebrar negocios ni transferir y / o recibir información personal de la Unión Europea.
Otros países de Asia y América Latina sí entendieron las consecuencias y promulgaron leyes más fuertes (o enmendaron las ya vigentes en la materia) para cumplir con las iniciativas implementadas por el RGPD y convertirse en países adecuados para operar con el bloque europeo. Incluso, California aprobó la California Consumers Privacy Act (CCPA) bajo los fundamentos del RGPD y ahora está lista para publicar otra ley relacionada con la protección de datos. Además, para los californianos, la privacidad es un derecho inalienable (California Constitution, Article 1, section 1. The state Constitution gives each citizen an "inalienable right" to pursue and obtain "privacy”).
Por lo tanto, volviendo de nuevo a la protección de los denunciantes bajo la directiva europea, casi todas las empresas y organizaciones deberán adoptar un canal de denuncia que garantice una protección crítica a quienes comunicarán una acción ilegal (en términos generales). Eso significa nuevamente, que la Unión Europea puede detener transacciones y comunicaciones con países externos, si se considera que esa nación no es adecuada para proteger a los denunciantes, y nuevamente, la privacidad está relacionada con ello.
Pero echemos un vistazo a lo que la Directiva (UE) 2019/1937 ha establecido en los primeros considerandos sobre el derecho a proteger a los denunciantes:
“(1) Las personas que trabajan para una organización pública o privada o que están en contacto con dicha organización en el contexto de sus actividades relacionadas con el trabajo suelen ser las primeras en enterarse de las amenazas o daños al interés público que surgen en ese contexto. Al informar sobre infracciones del Derecho de la Unión que son perjudiciales para el interés público, estas personas actúan como "denunciantes" y, por lo tanto, desempeñan un papel clave en la denuncia y prevención de dichas infracciones y en la protección del bienestar de la sociedad. Sin embargo, a menudo se desalienta a los posibles denunciantes de que denuncien sus preocupaciones o sospechas por temor a represalias. En este contexto, la importancia de proporcionar una protección equilibrada y eficaz a los denunciantes de irregularidades se reconoce cada vez más tanto a nivel de la Unión como internacional.
(4) La protección de los denunciantes de irregularidades que se ofrece actualmente en la Unión está fragmentada en los Estados miembros y es desigual en los ámbitos políticos. Las consecuencias de las infracciones del Derecho de la Unión con una dimensión transfronteriza denunciadas por denunciantes ilustran cómo la protección insuficiente en un Estado miembro repercute negativamente en el funcionamiento de las políticas de la Unión no solo en ese Estado miembro, sino también en otros Estados miembros y en la Unión como todo.
(5) Deben aplicarse normas mínimas comunes que garanticen la protección eficaz de los denunciantes de irregularidades en los actos y ámbitos políticos en los que sea necesario reforzar la aplicación, la falta de información por parte de los denunciantes es un factor clave que afecta a la ejecución y las infracciones del Derecho de la Unión pueden causar daños graves al interés público. Los Estados miembros podrían decidir ampliar la aplicación de las disposiciones nacionales a otros ámbitos con el fin de garantizar la existencia de un marco de protección de los denunciantes de irregularidades completo y coherente a nivel nacional.
(6) La protección de los denunciantes es necesaria para mejorar la aplicación del Derecho de la Unión en materia de contratación pública. Es necesario, no solo prevenir y detectar el fraude y la corrupción relacionados con la contratación en el contexto de la ejecución del presupuesto de la Unión, sino también abordar la aplicación insuficiente de las normas sobre contratación pública por parte de los poderes adjudicadores nacionales y las entidades adjudicadoras en relación con la ejecución. de obras, el suministro de productos o la prestación de servicios. Las infracciones de estas normas crean distorsiones de la competencia, aumentan los costes de la actividad empresarial, socavan los intereses de los inversores y accionistas y, en general, reducen el atractivo para la inversión y crean un campo de juego desigual para todas las empresas en la Unión, lo que afecta al correcto funcionamiento de el mercado interior ”.
Dicho esto, queda claro que una forma de fortalecer los derechos de los trabajadores y garantizar entornos éticos justos para las empresas y organizaciones, la adopción de los Canales de Denuncias es el siguiente paso a tener en cuenta.
Otra etapa importante para estos canales compatibles son los futuros estándares que se adoptarán en este área.
En efecto, la norma ISO / DIS 37301 sobre Sistemas de gestión de Compliance de la International Standards Organization, en su etapa de publicación como documento final, establece los términos para un efectivo cumplimiento deseado, por parte de las empresas y organizaciones. De esta manera, la norma establece que “El cumplimiento es un proceso continuo y es el resultado de una organización que cumple con sus obligaciones. El cumplimiento se hace sostenible al integrarlo en la cultura de la organización y en el comportamiento y la actitud de las personas que trabajan para ella. Mientras se mantiene su independencia, es preferible que la gestión del cumplimiento esté integrada con los demás procesos de gestión de la organización y sus requisitos y procedimientos operativos".
Pero debemos prestar especial atención a la norma ISO / DIS 37002 sobre sistemas de gestión de denuncias de la International Standards Organization, que establece que “Denuncia es el acto de informar sobre sospechas de irregularidades o riesgo de irregularidades. Los estudios y la experiencia demuestran que una gran proporción de irregularidades llega a la atención de la organización afectada a través de informes de personas dentro o cercanas a la organización.
Las organizaciones están introduciendo cada vez más políticas y procesos internos de denuncia de irregularidades en respuesta a la regulación o de forma voluntaria.
Este documento brinda orientación a las organizaciones para establecer, implementar, mantener y mejorar un sistema de gestión de denuncias… ”.
Un Ambiente Justo y Seguro Para El Denunciante
En mis años de práctica legal, he visto diferentes situaciones relacionadas con la denuncia de irregularidades que terminaron en un resultado trágico. Desde un funcionario público que denuncia varios casos de corrupción y malversación, hasta un trabajador de una empresa privada que denuncia acoso sexual, y por supuesto, el gerente que vende secretos y datos personales a la competencia. Muchos de estos casos aún ocurren en diferentes países y diferentes sectores, con casi el mismo resultado: una represalia directa al denunciante (cuando no es despedido), la mayoría de las veces castigado y trasladado a otra sección (degradado), mientras que ni se aplica castigo o apercibimiento al acusado. Además, a veces también se promueve a la persona que debería ser acusada a un puesto mejor.
¿Esto le resulta familiar? Además, podemos leerlo en las noticias más de una vez al año.
Lo que proponen la Directiva, las futuras leyes y las normas ISO es un entorno más justo y seguro para el denunciante, donde la persona que quiera denunciar una situación ilegal, ilícita, insegura o irregular, podrá hacerlo siempre y cuando, la empresa haya adoptado un Canal de cumplimiento de denuncia de irregularidades anónimo que incluya:
En otras palabras, esto significa protección para el denunciante mientras se comunica una situación ilegal.
En algunos países, cuando hablamos de Canales de Denuncias, nos referimos también al Ombudsman del Denunciante. Estados Unidos es uno de los países que lo ha incorporado, en dónde el Ombudsman es administrado por el Gobierno a través de la UNITED STATES INTERNATIONAL TRADE COMMISSION como parte de la Whistleblower Protection Enhancement Act (WPEA) de 2012.
La Ley establece que “el papel del Ombudsman es educar a los empleados de la agencia sobre las prohibiciones de represalias por divulgaciones protegidas y educar a los empleados de la agencia que hayan hecho o estén contemplando hacer una divulgación protegida sobre los derechos y recursos contra represalias por divulgaciones protegidas. El Ombudsman tiene prohibido actuar como representante legal, agente o defensor de un empleado o ex empleado”.
Esto permite potenciar la imparcialidad cuando una empresa que adopta un Canal de Denuncias, contrata a una tercera empresa para recibir las denuncias a través del mismo.
VII) CONCLUSIÓN
Un canal de denuncia de irregularidades puede mejorar la protección de datos como un derecho fundamental. Mientras que otros países aún están adaptando sus legislaciones de privacidad para cumplir con los efectos del RGPD, la Unión Europea se centra ahora en la mejora de las libertades mencionadas, especialmente con la protección del denunciante.
Esto es posible a través de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, sobre la protección de las personas que denuncian infracciones del Derecho de la Unión. Además, como un paso generalizado hacia la mencionada protección, la International Standards Organization está terminando los últimos ajustes de la ISO / DIS 37301 sobre sistemas de gestión de cumplimiento y la ISO / DIS 37002 sobre sistemas de gestión de denuncias. Estados Unidos cuenta al menos con dos leyes importantes: la Ley de protección de denunciantes y la Ley de mejora de la protección de denunciantes (WPEA). India cuenta con la Ley de protección de denunciantes y México ha aprobado una Ley que protege a los mismos. Todas tienen en común, que la protección consiste en comunicar un acto ilegal (en general) que proporciona anonimato y cifrado de extremo a extremo. Y lo más importante, la posibilidad de contratar una entidad externa (tercera parte) que pueda actuar como Ombudsman, y que puede ejercerse tanto en el ámbito privado como en el público.
Esto tiene solo una lectura: tal como hubo un antes y un después cuando se publicó el RGPD en 2018, el mismo efecto provocará la adopción internacional de los canales de denuncia de irregularidades aplicados por las leyes y respaldados por la ISO. Esto significa que en los próximos años, casi todos los países deberían publicar sus propias Leyes de Canal de Denuncias de conformidad con los requisitos mencionados.