Un nuevo invitado en la LOPD: El Whistleblower.

Hola de nuevo, lopder@s.

Llevaba un tiempo con el blog en modo de stand by debido a una alineación interplanetaria de asuntos que, objetivamente, me han impedido sentarme a escribir algo que realmente mereciera la pena. Soy de esas personas que creen en aquello de: "si lo haces, lo haces bien", y este blog nació con la idea de ser una herramienta útil basada en una "apetencia" de escribir, no una obligación tediosa que acabe siendo una carga. Así que, amig@s, si no he escrito antes es precisamente por eso, no hay por qué mentir. ;-)

Partiendo de esa base y añadiendo todas las novedades en temática lopdera que ha habido últimamente: que si el RGPD, que si el Proyecto de Reforma de la LOPD, que si a vueltas con el DPO y las medidas de seguridad... Este camino empieza a tener curvas cada dos pasos y, honestamente, yo soy de marearme en los viajes pero, a la vez, me encanta viajar, por lo que jamás dejaré de hacerlo, aunque tenga que llevar algo heavy para los mareos. Bueno, pues ayer desayunaba con este titular, que me hizo torcer el morro, que es muy característico en mí cuando algo no me gusta (y que por cierto: ha heredado el #iurisobri): "Quién es el delegado de datos, el 'delator' que llega a tu empresa en mayo." Tras ese primer impacto, el resto de la noticia no parece coincidir con ese titular, pero oye, la impresión fue cosita fina. Entiendo que es necesario un titular impactante para traer lectores, pero hagan el favor de pensar en el corazoncito de los que nos dedicamos a esto; la palabra "delator" es fea y, objetivamente, pensar en el DPO como un "delator" es no tener ni pajolera idea del tema. Si lees lo que se dice de esta figura en el RGPD , podría comprarte que el DPO es un poco el jode-rollos de la fiesta si lo llevas al extremo, pero si eres un tío/tía list@ , podrás ver que el DPO realmente puede ser un activo de tu empresa, un Pepito Grillo que te haga hacer las cosas bien y un "Mago Merlín" que haga magia contra las ideas de bombero que pueden dar al traste con un buen negocio. Hazme caso: El DPO no es ningún lobo que vaya a entrar en tu corral a darse un festín. Son muchos los cracks que han escrito sobre la figura del DPO y tan bien que, sinceramente, no creo que vaya a mejorar ninguno de esos textos. Baste leer al gran Ricard Martínez y su respuesta al artículo de titular con mala uva: http://lopdyseguridad.es/delegado-de-proteccion-de-datos-delator-o-colaborador-imprescindible/ . Querido Maestro, suscribo cada palabra suya, cosa que no es novedad, por cierto.

Tras pensar en la palabra "delator", me he acordado de que hay una figura que asusta más que el DPO y que aparece como novedad en el proyecto de reforma de la LOPD que acabamos de conocer, recién salido del horno y bien calentito: El whistleblower. Llevamos un tiempo escuchando y leyendo sobre esta figura, sobre todo a raíz de que la heroína Ana Garrido decidiera levantar las alfombras y denunciar el pestilente olor a podrido que invadía cierto municipio madrileño. Si empecé este párrafo usando la palabra "delator", quiero terminarlo (e iniciar la cuestión lopdera que me ocupa en este post), haciendo un alegato en favor de gente tan valiente como Ana, a los cuales tenemos que agradecer que saquen la cara y pongan su nombre y apellidos y principios por delante de los beneficios sin escrúpulos ofrecidos por algunos. Qué feas suenan palabras como "delator" o "chivato"; honestamente, creo que la Sociedad debería ver a figuras como la de Ana Garrido como "valientes"; y con esa idea tan "flower", el Proyecto de Reforma de la LOPD los trae a su texto, afortunadamente. Y... ¿qué dice el nuevo texto sobre ellos? Pues vamos a verlo:

Artículo 17. Sistemas de información de denuncias internas en el sector privado.

1. Será lícita la creación y mantenimiento de sistemas de información a través de los cuales

pueda ponerse en conocimiento de una entidad privada, incluso anónimamente, la comisión en el

seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas

que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los

empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de

información.

2. El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente al

personal que lleve a cabo las funciones de control interno y de cumplimiento de la entidad y, sólo cuando procediera la adopción de medidas disciplinarias contra un trabajador, al personal con

funciones de gestión y control de recursos humanos.

3. Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la

confidencialidad de los datos correspondientes a la persona que hubiera puesto los hechos en

conocimiento de la entidad si se hubiera identificado.

4. Los datos de quien formule la comunicación y de los empleados y terceros deberán

conservarse en el sistema únicamente durante el tiempo imprescindible para la averiguación de

los hechos denunciados.

En todo caso, transcurridos tres meses desde la introducción de los datos deberá procederse a

su supresión del sistema. Si fuera necesaria su conservación para continuar la investigación

podrán seguir siendo tratados en un entorno distinto.

No será de aplicación a estos sistemas la obligación de bloqueo prevista en el artículo 29.

Puntos clave del artículo:

1) Lo primero: que es lícito crear este tipo de mecanismos. Y yo voy más allá: no solo es lícito, sino que, personalmente, creo que es ultranecesario. Nos llenamos la boca con temas como la Responsabilidad Social Corporativa o con donaciones estratosféricas a fines sociales, o con lo modernos que somos por estar en RRSS y conectar con la gente joven, pero a veces las alcantarillas están un poco, digamos, congestionadas. No pongáis esa cara, seguro que se os ocurren ejemplos de malas prácticas a porrón, tanto en vuestras empresas como en vuestra comunidad de vecinos. 

2) Que para que esto funcione, es necesario que los empleados conozcan que hay esos mecanismos y sepan cómo usarlos. Esto es básico: cuando entra un nuevo empleado, hay codazos por enseñarle cómo funciona la máquina de café o las reglas que hay sobre protección de datos (chas!), pues habrá que explicarle también que, si ve algo feo feísimo, puede denunciarlo. 

3) Que los datos de estas denuncias solo tendrán que estar a disposición del personal encargado de velar porque la empresa sea güena (es decir, que si denuncias algo que hace tu jefe, en teoría, este no debe saber que has sido tú "garganta profunda"). Esto es de cajón: si sé que se va a enterar mi jefe de que le he denunciado por algo que hace mal, a ver quién es el rico que se atreve (y menos cuando está la cola del SEPE que hay cola hasta para hacer cola, aunque nos vendan lo contrario). La única excepción a esto es que puedan derivarse medidas disciplinarias contra el denunciado; entonces sí se da vía libre a que los de RRHH lo sepan y procedan contra el malo malísimo.

4) Que hay que tomar medidas para proteger la identidad del whistleblower; precisamente al hilo de lo que comentaba en el punto 3. Empezaba la introducción del post hablando de lo feo que suena la palabra "delator"; todos hemos crecido interiorizando que el chivato era el malo de la peli, incluso aunque se chivara de que se estaba haciendo algo horrible. La consecuencia de que se hiciera público en el cole el nombre del "chivato", era que se enfrentaba a una especie de castigo social por hacerlo, no sólo del "afectado" por el chivatazo, sino del resto. Esto hacía que pocos se atrevieran objetivamente a tomar la iniciativa y, cuando crecemos, no sólo no olvidamos esta memez (la Sociedad hace que lo interioricemos aun más), sino que es como una especie de aberrante "pacto de silencio" que, a mi juicio, nos convierte en cómplices. Y luego pasa lo que pasa, que todos conocemos de sobra. Bueno, la cosa es que el artículo, con muy buenas intenciones, establece la obligatoriedad de aplicar medidas que garanticen la confidencialidad y preserven la identidad del valiente. En un mundo ideal, me encantaría que no tuviesen que ser tomadas este tipo de medidas con la citada finalidad de protección, pero oigan, "piano, piano". Menos da una piedra.

5) Que tenemos un plazo de conservación de los datos de la denuncia: el tiempo imprescindible para estudiar los hechos objeto de la denuncia. Como aquí somos muy de conservar las cosas por tiempo indefinido (menos las relaciones laborales, por cierto), el propio artículo nos da un plazo: 3 meses desde que el whistleblower meta los datos en el sistema. Esto me lleva a plantearme algunas cosas: 

a) Entiendo que el método que prefiere el legislador es por vía TIC, porque lo de poner un buzón fisico de denuncias parece un poco complicado a la hora de cumplir y gestionar este plazo. Además, me imagino la imagen del buzón como una zona inhóspita y desangelada, pocas ganas de acercarse por temor a las miradas inquisitorias de las que hablaba antes, por lo que quizás el método TIC es el más "cómodo" (veremos si el más "eficiente").

b) El plazo de 3 meses es muy bonito en el papel, igual que lo es el de la Justicia Rápida de la que presume nuestro querido Ministro en las giras que hace vendiendo las maravillas de Lexnet y de los nuevos Juzgados que abre, en muchas ocasiones, sin equipar (aunque esto no lo ha inventado él, sinceramente, esto se inventó con hospitales y creo que la idea fue de una conocida de Ana Garrido, por cierto). Habrá que ver si ese plazo es el adecuado y cómo justifica la empresa que ha llevado las gestiones necesarias en ese tiempo para analizar y estudiar el caso. 

c) Pasados los 3 meses, hay que SUPRIMIR los datos, NO BLOQUEARLOS. Bien, esto tiene un doble filo: si eliminamos todo lo generado por la denuncia, a ver cómo hacemos si luego resulta que, a pesar de que la investigación interna se cerró con un beso y una flor, resulta que nos encontramos con un berenjenal como el descubierto por la denuncia de Ana Garrido. De esa denuncia interna que inicia el proceso pueden derivarse consecuencias "positivas" y "negativas" que igual es necesario revisar a posteriori, por lo que es posible que cargarse TODO no sea la mejor idea., sobre todo si se abre un meloncito como ese. Habrá que darle alguna vuelta a cómo gestionarlo. ¿Anonimización? ¿Pseudonimización? 

Para finalizar este post un poco incendiario, quiero hacer mención a dos cosas importantes:

1) Leo en la web de la AEPD esto: "El CGPJ y la AEPD colaborarán en las inspecciones de órganos judiciales en materia de protección de datos". Una gran noticia que se deriva, obviamente, de porrocientas denuncias de muchos compañeros sobre la falta de diligencia en esta temática de algunos organismos, entre ellos, los que componen la Brigada Tuitera. Como veis, e incidiendo en lo que decía anteriormente, la figura del "Whisteblower" es muy necesaria; muchas denuncias públicas las han hecho compañeros desde su cuenta de Twitter. Mi más sincera enhorabuena.

2) Me he encontrado en twitter muy bien acompañada de cracks en una mención que reconozco que me ha hecho especial ilusión: http://sinderiza.com/7-blogs-juridicos-me-encantan/ . Muchísimas gracias a los compis de Sinderiza por meter este pequeño blog junto a tanta gente enorme, de verdad que es todo un honor, compañer@s!!!

Y ahora sí: hasta aquí el post de hoy. Feliz semana y hasta la próxima!