Únete a la Comunidad de Directivos de Tecnología, Ciberseguridad e Innovación Byte TI

Encontrarás un espacio diseñado para líderes como tú.

gdpr ataque a una pyme ciberseguridad whistleblowers

Faltan referencias tecnológicas en la transposición de la Directiva Whistleblowing

La entrada en vigor de la reciente normativa de protección de los informantes, y que transpone, en España, la Directiva 2019/1937 de 23 de octubre, también conocida como Directiva Whistleblowing, ha supuesto, de un lado, la consolidación de obligaciones legales de configuración y garantías de protección que, en muchos casos, ya venían aplicándose en la implementación y funcionamiento de los canales de denuncias, ahora denominados “sistemas internos de información”.

Sería especialmente extenso desgranar, aquí, el cúmulo de excesos regulatorios, contradicciones e incoherencias que, en mi humilde opinión, contiene esta norma y que, en buena parte, derivan de una falta de rumbo o abstracción que ya se advertían en la propia Directiva. No obstante, ello no puede suponer negar la necesidad y, especialmente, la utilidad preventiva y de autoconocimiento corporativo de estos sistemas internos en los esfuerzos corporativos de Compliance, así como el beneficio, como puesta en valor e impulso, que la Ley aporta para la mejora del funcionamiento de éstos (que serán obligatorios, en España, para las entidades de más de doscientos cincuenta empleados, a partir del 13 de junio de 2023, así como para las entidades a partir de cincuenta empleados, a partir del 1 de diciembre de 2023).

Sistemas internos de información

Es por ello que por lo que estos sistemas internos de información (que, en la mayoría de empresas de tamaño medio o grande, ya habían sido impulsados con motivo de dar sentido al requisito de los Programas o Modelos de prevención de delitos de imponer la obligación de informar de riesgos e incumplimientos, según lo previsto por el art. 31 bis.5.4. del Código Penal), están en auge, no solo en cuanto a la necesidad de implementar una política y un procedimiento de gestión de las comunicaciones, sino también por el notable aumento de la oferta de soluciones tecnológicas que sirven para hacer realidad la implementación del sistema y su accesibilidad.

Sin embargo, pese a que recibimos con frecuencia la consulta acerca de la “mejor vía” para hacer realidad tal implementación, la realidad es que esta novedad normativa no ha especificado en exceso su preferencia por una fórmula tecnológica o revestida de determinados requisitos de seguridad (que sí pueden inferirse, como veremos a continuación, de las exigencias de ciertas garantías).

De la lectura del art. 7 (canal interno de información), uno no tuviera la sensación de que su redacción se corresponda con la del año 2023, ya que, sin intención de debatir acerca de si su regulación resultaba o no necesaria, el precepto indica que “el canal interno deberá permitir realizar comunicaciones por escrito o verbalmente, o de las dos formas”, pudiéndose realizar la acción de información “bien por escrito, a través de correo postal o a través de cualquier medio medio electrónico habilitado al efecto, o verbalmente, por vía telefónica o a través de sistema de mensajería de voz. A solicitud del informante, también podrá presentarse mediante una reunión presencial dentro del plazo máximo de siete días”. De la lectura anterior, uno podría sacar la extraña conclusión acerca de la indiferencia de la norma en relación con la escasa o nula aportación que, a su entender, podría suponer la incardinación de este canal en una tecnología u otra.

La entrada en vigor de la normativa de protección de los informantes, y que transpone la Directiva 2019/1937 de 23 de octubre, también conocida como Directiva Whistleblowing, ha supuesto la consolidación de obligaciones legales de configuración

Sin embargo, cabe realizarse, al menos, determinadas preguntas que, en mi opinión, sí deben reconducir el debate y quizás puedan suponer la elección de una opción menos arcaica que un buzón postal en la entrada de la oficina: en primer lugar, ¿resulta realmente posible, en una empresa con un número importante de empleados, realizar, de manera fiable, el acuse de recibo, sin una mínima alerta electrónica, en un plazo de siete días naturales?, en segundo lugar ¿resulta posible, sin una configuración electrónica, hacer realidad el cumplimiento normativo de la obligación que la propia norma señala en su art. 5.2.b en relación con la obligación de que el sistema interno de información sea diseñado, establecido y gestionado de una forma segura, de modo que se garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, y de las actuaciones que se desarrollen en la gestión y tramitación de la misma, así como la protección de datos, impidiendo el acceso de personal no autorizado? y, en tercer lugar, ¿existe alguna alternativa, además de los software que permiten la comunicación encriptada con los informantes, para dar cumplimiento al precepto anterior y, además, poder mantener una comunicación continuada con los informantes que elijan la opción anónima -que el sistema interno debe permitir en consonancia con lo dispuesto por el art. 7.3 de esta Ley?

Se podrían hacer algunas preguntas adicionales que, quizás, nos puedan llevar a pensar que esta Ley no ha realizado una apuesta por una cierta exigencia tecnológica que resultase coherente o consecuente con el nivel de protección, confidencialidad y seguridad a la que la propia norma obliga, así como con la indicación expresa que sí se recoge, por ejemplo, en relación con la necesidad de publicación y divulgación de información adecuada en la web corporativa, en una sección separada y fácilmente identificable. Del mismo modo, se podría profundizar aún más, en las facilidades que la tecnología aporta para la trazabilidad, acreditación y registro de las comunicaciones alojadas en estos sistemas.

No obstante, las preguntas anteriores no pretenden una respuesta unívoca de la cuestión, sino únicamente la reflexión acerca del contraste entre la amplia regulación que algunas cuestiones, -como los ejemplos enunciativos que definen las represalias-, y el tan escaso o prácticamente inexistente componente tecnológico que esta normativa incorpora (se podría haber apostado, por ejemplo, por un impulso e incentivo de aquellas fórmulas tecnológicas que mejor garanticen el cumplimiento de la propia norma) pese a la apuesta real por esta vía (tecnológica), de la gran mayoría de empresas, para hacer realidad la implementación de estos sistemas y de sus garantías.

Por Juan E. Tordesillas, socio de ECIJA

Deja un comentario

Scroll al inicio