Columnas

Desafíos para la protección de datos en materia de Compliance: Parte II – Canal de denuncias e investigación interna

"De cara a la Ley 19.628 sobre Protección de la Vida Privada, los proyectos de ley relativos a Ciberseguridad y delitos informáticos actualmente en tramitación, así como la influencia del Reglamento Europeo para la Protección de Datos (RGPD), es posible plantear algunas dudas sobre el alcance y funcionamiento del canal de denuncias en relación al tratamiento de datos que podría recoger y procesar, atendida la escasa regulación específica en la materia".

Por Rebeca Zamora Picciani y Renzo Gandolfi Díaz*

Con la dictación de la Ley 20.393 sobre Responsabilidad Penal de las Personas Jurídicas surgieron con fuerza los denominados “Modelos de Prevención de Delitos” (MDP), como herramienta que busca acreditar que se han cumplido los deberes de dirección y supervisión por parte de una persona jurídica para evitar que la comisión de ciertos delitos en su favor, como exoneración de responsabilidad penal a nivel corporativo.

El artículo 4° de la Ley 20.693 establece los requisitos mínimos de los sistemas de prevención señalando, entre otros elementos, que la persona jurídica deberá establecer procedimientos de denuncia y persecución de responsabilidades pecuniarias en contra de las personas que incumplan el MPD. En efecto, no es posible concebir una gestión diligente de estos sistemas sin la implementación efectiva de un canal de denuncias adecuado y expedito que garantice la confidencialidad y no represalia o indemnidad del denunciante, especialmente cuando se trata de un colaborador de la compañía. Así lo reconoce la Foreign Corrupt Practices Act (DOJ/ U.S. SEC, FCPA. A Resource Guide to the U.S. FCPA, p. 61), la Norma ISO 19600 sobre Sistemas de Gestión de Compliance (10.1.2. 3), la Norma ISO 37001 sobre Sistemas de Gestión Anticorrupción (5.1.2) y la Guía Práctica “Buenas Prácticas de Investigación Responsabilidad Penal de las Personas Jurídicas” del Ministerio Público de Chile (septiembre 2015, p. 35-36). De allí la extraordinaria importancia que han adquirido los canales de denuncia a través de externos que brinden ese estándar.

Rebeca Zamora

De cara a la Ley 19.628 sobre Protección de la Vida Privada, los proyectos de ley relativos a Ciberseguridad y delitos informáticos actualmente en tramitación, así como la influencia del Reglamento Europeo para la Protección de Datos (RGPD), es posible plantear algunas dudas sobre el alcance y funcionamiento del canal de denuncias en relación al tratamiento de datos que podría recoger y procesar, atendida la escasa regulación específica en la materia. En efecto, ¿de qué manera es posible procesar los datos que entrega un denunciante? ¿Qué resguardos se deben tomar al momento de recabar la información? ¿Quiénes deberían acceder a ella? ¿Qué ocurre si la información que proporciona el denunciante corresponde a datos sensibles o a información que vulnera garantías del denunciado? ¿a qué información podrá acceder el denunciado? ¿tiene derecho el denunciado a conocer la identidad del denunciante y toda la información aportada? ¿Siempre podrá utilizarse dicha información? ¿Por cuánto tiempo puede almacenarse la información recopilada en el canal e investigación interna?

La potestad de investigar ilícitos al interior de la empresa, expresión del ejercicio de las facultades que se conceden al empleador, conlleva en la práctica a la recopilación de una serie de antecedentes. Este ejercicio no puede transformarse en una actividad policial, debiendo utilizarse herramientas lícitas disponibles con pleno respeto a los derechos fundamentales del trabajador, debiendo recurrir continuamente al “juicio de proporcionalidad” (Dirección del Trabajo, ORD. N°5125/061 de 7 de octubre de 2015). Es decir, la evaluar que la actividad que se realiza resulta justificada y razonable, idónea, necesaria y equilibrada para ejecutar una investigación interna con la diligencia debida.

En primer lugar, el canal de denuncias debería necesariamente contar con una política y procedimiento que permita a quien haga uso de éste, sea que esté habilitado para denunciantes internos o externos, conocer el alcance del tratamiento de la información que entrega, solicitar su consentimiento expreso para ello (art. 4, Ley 19.628) y el señalamiento de los fines para los que serán utilizados, en este caso, una investigación interna para el eventual establecimiento de responsabilidades y sanciones (art. 9, inc. 1, Ley 19.628). La misma política debería establecer la garantía de confidencialidad en caso del denunciante que se identifica y permitir el anonimato para aquel denunciante que por diversos motivos desea ocultar su identidad, mediante al menos un canal cifrado en que se transmita la información de forma segura para su posterior almacenamiento.

Renzo Gandolfi

Recibida la denuncia, se debiera designar un funcionario o comisión investigadora idónea que efectúe la investigación, si procede. Tratándose de la Ley 20.393, para el Ministerio Público, el Encargado de Prevención de delitos debe contar “con las potestades suficientes para investigar las denuncias que se reciban a través de los pertinentes canales fluidos a disposición de los empleados de la empresa” (Guía…, p. 24). Solo este funcionario, o aquellos idóneos designados para la respectiva investigación, deberían tener acceso y conocimiento de dicha información, salvo que la misma deba ser comunicada a terceros en caso de ejercer medidas disciplinarias (a quien efectúa un despido, por ejemplo) o que deba ser entregada a una autoridad judicial. En efecto, como la denuncia podría suponer que un trabajador eventualmente ha cometido un incumplimiento legal, contractual o ético, se debe considerar que la divulgación del proceso investigativo podía ser vulneradora de su derecho al honor y privacidad, por lo que el empleador debe garantizar la confidencialidad del proceso, (JL Chillán, RIT T-12-2014), en tanto administra el canal de denuncias. 

Es frecuente que los denunciantes entreguen información a la que han accedido por la relación que mantienen con el denunciado y que podría incluir comunicaciones o publicaciones (en redes sociales, por ejemplo) que podrían ser consideradas de carácter privado y, eventualmente, vulnerar la privacidad del denunciado, lo que cobra especial relevancia si éste es un trabajador de la compañía. Sobre este punto, ha de estimarse que, si el titular de una cuenta tiene interés en mantener reserva de alguna publicación o actividad, le corresponde a éste velar por ese interés, considerando que aquello que se expone a un número determinado de personas sin que exista prohibición expresa que aquellos terceros que lo reciben puedan comentarlo con otras personas, no vulneraría la privacidad (Corte Suprema, Rol 17732-2016). En efecto, el emisor de un mensaje o publicación en una red social no tiene la posibilidad jurídica de impedir que sea divulgado posteriormente por el receptor o destinatario y, por tanto, es lícita aquella prueba que consiste en la entrega voluntaria de un registro de publicación por parte de un tercero o una conversación (JL Ovalle, Rol T-2-2015), aunque también se ha sostenido lo contrario (JLT Valparaíso, Rol T-3-2012).

Si lo que se aporta en el canal de denuncias son datos del denunciado de carácter sensible, sin que conste fehacientemente la autorización expresa de éste para su comunicación y tratamiento a terceros, dicha información no podría ser utilizada y debiera ser eliminada (art. 10, Ley 19.628). Es normal también que el investigador recopile información que se obtiene de fuentes públicas a través de la navegación por internet (JLT San Javier, Rol T-8-2018) o aquella que puede obtenerse al ingresarse a aplicaciones a las que cualquiera puede tener acceso (1° JL San Antonio, RIT O-37-2018), cuyo tratamiento es lícito (art. 4, inc.5, Ley 19.628). La posibilidad de tratar y utilizar los datos e información recopiladas en el canal de denuncias y posterior investigación es de vital importancia en aquellos casos en que la persona jurídica debe justificar una sanción impuesta ante una autoridad judicial, como ocurre en los juicios de despido. De allí la necesidad de velar por la licitud de la información que se incorpora a la investigación.

La garantía de debido proceso para el denunciado en el marco de una investigación interna implica el conocimiento de la denuncia y si va a declarar, conocer que lo hace en tal calidad, los hechos que se le imputan y si será sujeto de alguna medida cautelar o de resguardo (1° JLT Santiago, RIT T-804-2015). En todo caso, estimamos que existen razones para diferir el conocimiento del denunciado y que ello no limite sus garantías fundamentales, en la medida que dicho diferimiento sea justificado o idóneo para asegurar el éxito de la investigación o la práctica específica de diligencias investigativas. Aquí es donde cobra relevancia que en el proceso de implementación del MPD se dé a conocer a los trabajadores la existencia del canal de denuncias y su funcionamiento, pues no podrían alegar ignorancia respecto a la posibilidad de ser investigados internamente y bajo qué reglas. 

Por otro lado, el denunciado no necesariamente debe acceder a la identidad del denunciante (a quien se ha garantizado confidencialidad), entendiendo que se trata de un caso en que la denegación a esa información satisface el “juicio de proporcionalidad” en el contexto de una investigación interna. Lo complejo será en aquellos casos en que la confrontación con el denunciado de los datos e información aportada por el denunciante resulte esencial para el esclarecimiento de los hechos. Por ello, la Política del canal de denuncias debiera advertir al denunciante de la eventual utilización de la información y datos que aporta, recabando su consentimiento expreso. Esto se materializa en la práctica a través de la aceptación de la declaración de privacidad y autorización de uso de información del canal.

Uno de los mayores desafíos es determinar por cuánto tiempo se deberían almacenar los datos obtenidos en una investigación interna. Conforme al artículo 6 de la ley 19.628, los datos personales deberán ser eliminados o cancelados cuando su almacenamiento carezca de fundamento legal o cuando hayan caducado. Podría estimarse que, una vez concluido el proceso investigativo y determinadas las responsabilidades y sanciones a aplicar (por ejemplo, un despido disciplinario y un eventual juicio de impugnación del despido), el almacenamiento de la información carece de fundamento y debiera ser eliminada, incluso sin necesidad de requerimiento por parte de los titulares de los datos e información.

Sin embargo, el registro y archivo de las investigaciones internas tiene importancia para la evidencia del -buen- funcionamiento del MPD, en caso de imputación penal a la persona jurídica. Para el Ministerio Público “dentro de la investigación que realice la fiscalía para recabar información disponible en la empresa es de interés buscar las investigaciones internas que se hayan realizado por casos semejantes o de relevancia” (Guía Práctica…, p. 36), por lo que su almacenamiento prolongado podría estar justificado precisamente en la medida que la compañía cuente con un MPD. El registro de denuncias, aun cuando se trate de otros ilícitos, podría ayudar a acreditar la persona jurídica ejecutaba labores investigativas internas con diligencia. 

Esta finalidad justifica el almacenamiento íntegro y prolongado de las investigaciones internas. Al menos esta es la solución implementada por la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales de España y que adaptó el Reglamento General de Protección de Datos de la Unión Europea al derecho interno. El artículo 24 de dicha ley establece que los datos de quien formule la comunicación (denuncia) y de los empleados y terceros, deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados y deben ser eliminados a los 3 meses de su introducción en el sistema. Sin embargo, la misma disposición permite su conservación siempre que su finalidad “sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica” y prevé que, transcurrido el plazo de tres meses, los datos podrán seguir siendo tratados por el órgano al que corresponda la investigación de los hechos denunciados, aunque no conservándose en el propio sistema de información de denuncias internas.

* Rebeca Zamora Picciani es abogada (U. de Chile) y Diplomada en Compliance y Buenas Prácticas (PUC). Actualmente es profesora de Derecho Penal en la Universidad Central y Directora de Cumplimiento Normativo & Derecho Penal en Honorato | Delaveu.
Renzo Gandolfi Díaz es abogado (U. del Desarrollo), Magíster en Derecho de la Empresa (U. del Desarrollo), Magíster en Derecho Informático y Telecomunicaciones (U. de Chile) y Máster(c) en Seguridad de la Información y Continuidad del Negocio (UCAM). Actualmente es Director del Magister de Derecho Corporativo de la Universidad Central.

Rebeca Zamora Picciani

Abogada de la Universidad de Chile y diplomada en Compliance y Buenas Prácticas de la PUC. Actualmente es profesora de Derecho Penal en la Universidad Central y Directora de Cumplimiento Normativo & Derecho Penal en Honorato | Delaveu. Ha centrado su carrera en asesorías relacionadas a anticorrupción, delitos económicos y materias relacionadas a la Ley de Responsabilidad de Personas Jurídicas, entre otros.

Artículos relacionados

Agregar un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *

Close
Close