Canal de denuncias y protección de datos: cómo cumplir el RGPD
Implantar un canal de denuncias ya no es opcional para buena parte de las pymes españolas: la Ley 2/2023, que transpone la Directiva europea whistleblowing (UE 2019/1937), obliga a las empresas de 50 o más trabajadores a disponer de un sistema interno de información. Pero cumplir con la ley del informante es solo la mitad del trabajo. La otra mitad, la que suele quedar en el aire, es la protección de datos personales: un canal de denuncias gestiona información especialmente sensible (identidades, acusaciones, pruebas) y, si no se ajusta al RGPD, expone a la empresa a sanciones tanto de la Autoridad Independiente de Protección del Informante como de la Agencia Española de Protección de Datos (AEPD). Vamos a ver cómo encajar ambas obligaciones sin dolores de cabeza.
Aspectos básicos de privacidad en un canal de denuncias
Un canal de denuncias trata datos personales desde el primer minuto: los del denunciante, los del denunciado y los de posibles testigos. Antes de ponerlo en marcha conviene tener claros varios principios de privacidad que el propio RGPD y la Ley 2/2023 exigen de forma expresa.
Informar adecuadamente a las personas de la empresa
La transparencia es la base de todo tratamiento de datos. Toda la plantilla debe saber que el canal existe, para qué sirve, quién gestiona la información y qué derechos tiene sobre sus datos. Esta información previa —el clásico deber de información del artículo 13 del RGPD— no es un mero trámite: genera confianza en el sistema y anima a las personas a usarlo cuando detectan una irregularidad. Un canal que nadie conoce o del que se desconfía es un canal muerto.
En la práctica, esto se traduce en una política de uso del canal accesible, una cláusula informativa en el propio formulario de denuncia y, muy recomendable, una comunicación interna cuando se lanza el sistema.
Equilibrar la privacidad del denunciado y los derechos del denunciante
Aquí está uno de los puntos más delicados. Por un lado, hay que proteger la identidad del denunciante con garantías reforzadas de confidencialidad, porque es precisamente el miedo a las represalias lo que la ley quiere neutralizar. Por otro, el denunciado conserva sus derechos: presunción de inocencia, derecho de defensa y, en el momento procesalmente oportuno, acceso a la información que le concierne.
La clave es que el derecho de información del denunciado no puede utilizarse para revelar la identidad del denunciante. La empresa debe diseñar el procedimiento de modo que ambos derechos convivan, aplazando la comunicación al denunciado cuando exista riesgo real de que la investigación se vea comprometida.
Quién puede acceder a los datos
El acceso a la información del canal tiene que estar estrictamente limitado. Solo deberían poder consultarla:
- El responsable del sistema interno de información, figura que la Ley 2/2023 obliga a designar.
- El personal de Recursos Humanos o de cumplimiento que participe en la instrucción del expediente.
- El asesor legal interno o externo, cuando la denuncia lo requiera.
- El Delegado de Protección de Datos (DPD), si la empresa lo tiene designado.
- Las autoridades judiciales, policiales o administrativas, únicamente cuando la ley lo exija.
Cualquier otro acceso es una brecha de seguridad. Por eso es tan importante que el canal registre quién consulta qué y cuándo.
El papel del Delegado de Protección de Datos
Si tu empresa está obligada a nombrar un DPD —o si lo has designado voluntariamente— su participación en el diseño y supervisión del canal es muy recomendable. El DPD vela por que el tratamiento cumpla el RGPD, asesora sobre los plazos de conservación, revisa la evaluación de impacto (EIPD) cuando procede y actúa como punto de contacto con la AEPD. En canales que tratan datos sensibles de forma sistemática, contar con esa figura reduce muchísimo el riesgo de errores.
Principios de protección de datos en la gestión de denuncias
Más allá de la puesta en marcha, el día a día del canal debe respetar los principios del RGPD en cada expediente. Estos son los cuatro que más peso tienen en la gestión de denuncias.
Limitación de la finalidad
Los datos recabados a través del canal solo pueden usarse para investigar los hechos denunciados. La Ley 2/2023 acota el objeto del canal a infracciones del Derecho de la Unión y a acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave. No es un buzón de sugerencias ni un cauce para conflictos laborales ordinarios, y los datos no pueden reutilizarse para otras finalidades ajenas a la investigación.
Anonimato del denunciante
Uno de los avances de la Ley 2/2023 es que admite expresamente las denuncias anónimas: el sistema debe permitir informar sin identificarse. Cuando el denunciante sí se identifica, su identidad queda protegida por la obligación legal de confidencialidad y solo puede revelarse en los supuestos tasados por la ley, normalmente en el marco de una investigación judicial. Este anonimato es, de nuevo, lo que hace que el canal funcione.
Confidencialidad de la información
Toda la información del expediente debe tratarse con la máxima confidencialidad y almacenarse en un entorno seguro, con cifrado y controles de acceso. Esto implica registros de acceso, medidas técnicas frente a filtraciones y formación del personal que interviene. Una denuncia filtrada no solo destroza la confianza en el sistema: puede acarrear sanciones por incumplimiento del RGPD y responsabilidades frente al denunciante.
Conservación y supresión de los datos
El RGPD exige no conservar los datos más tiempo del necesario, y aquí la Ley 2/2023 es concreta: los datos de una denuncia solo pueden mantenerse en el sistema interno de información durante el tiempo imprescindible para decidir sobre su tramitación, y en todo caso no más de tres meses desde la recepción sin que se hayan iniciado actuaciones. Si transcurrido ese plazo procede investigar, la información se traslada a un expediente separado. Si no procede, debe suprimirse o anonimizarse. Estos plazos automáticos son de los primeros que la AEPD revisa en una inspección.
Cómo lo resuelve un software especializado
Cuadrar todo lo anterior a mano —control de accesos, registros, plazos de tres meses, confidencialidad del denunciante— es tedioso y propenso a fallos. Un software que integre el canal de denuncias con el resto de la gestión de personas simplifica el cumplimiento: acceso restringido por roles, trazabilidad de cada consulta, formularios con la cláusula informativa ya incorporada y borrado automático de los expedientes que vencen su plazo.
En LapsoWork el canal de denuncias viene listo para cumplir la Ley 2/2023 y el RGPD, y convive con el gestor documental para custodiar de forma segura las pruebas y los expedientes asociados a cada caso. Así el canal deja de ser una obligación incómoda y pasa a ser una herramienta que protege tanto a tu plantilla como a tu empresa.
Conclusión
El canal de denuncias y la protección de datos son dos caras de la misma moneda. No basta con tener un buzón donde recibir avisos: hay que garantizar la confidencialidad del denunciante, respetar los derechos del denunciado, limitar el acceso a los datos y cumplir los plazos de conservación que marca la Ley 2/2023. Hacerlo bien te evita sanciones por partida doble y, sobre todo, construye una cultura interna en la que las personas se atreven a hablar. Y esa confianza, al final, es lo que hace que el sistema funcione.