Sistema interno de información

El objeto del presente protocolo es establecer un sistema eficaz de gestión, investigación y respuesta de las informaciones recibidas que sean interpuestas por las personas incluidas en el ámbito subjetivo del mismo ante la/s persona/s y órgano previamente designado a tales efectos, como consecuencia de la comisión de hechos contrarios a la legalidad.
Este sistema interno será un cauce preferente para informar y se tratará de manera efectiva y sin riesgo de represalias.
De esta manera, se instaura en BESTILE, S.L. un proceso reglado de obligado seguimiento que comprenderá la actuación a llevar a cabo desde el momento en que se recibe una información hasta que, en su caso, la infracción cometida sea sancionada, incluyendo, así mismo, la evaluación de la incidencia y la proposición de medidas a implantar en favor del/la informante o de aquellas personas que se vieran afectadas, en el supuesto en el que sea considerado necesario.
Este protocolo tiene por finalidad otorgar una protección adecuada a las personas que informen sobre las represalias que puedan sufrir y fomentar la cultura de la información o comunicación como mecanismo para la prevención y detección de amenazas de interés.

SECTOR PÚBLICO

• La Administración General del Estado, las Administraciones de las Comunidades Autónomas y ciudades con Estatuto de Autonomía y las entidades que integran la Administración Local.
• Los Organismos y Entidades Públicas vinculadas o dependientes de alguna administración pública, así como aquellas otras asociaciones y corporaciones en las que participen las administraciones y organismos públicos.
• Las Autoridades Administrativas Independientes, el Banco de España y las entidades gestoras y servicios comunes de la Seguridad Social.
• Las universidades públicas.
• Las corporaciones de derecho público.
• Las fundaciones del sector público.
• Las sociedades mercantiles en cuyo capital social la participación, directa o indirecta, de entidades mencionadas señaladas sea superior al 50% o en los casos en que sin superar ese porcentaje se trate de un grupo de sociedades.
• Los órganos constitucionales, los de relevancia constitucional e instituciones autonómicas análogas a las anteriores.

SECTOR PRIVADO

• Personas físicas o jurídicas que tengan contratados 50 o más trabajadores/as
  Personas jurídicas que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente, con independencia del número de trabajadores/as.
• Personas jurídicas que desarrollen en España actividades a través de sucursales o agentes, o mediante prestación de servicios sin establecimiento permanente.
• Partidos políticos, sindicatos, organizaciones empresariales y fundaciones creadas por ellos siempre que reciban o gestionen fondos públicos.

Grupos de Empresas

En el caso de grupos empresariales (según art. 42 del Código de Comercio), atenderá a lo siguiente:

• La sociedad dominante aprobará una política general relativa al Sistema interno de información.
• La sociedad dominante asegurará la aplicación de sus principios en todas las entidades que la integran, con las modificaciones o adaptaciones que resulten necesarias en cada sociedad integrante para el cumplimiento de la normativa aplicable en cada caso.
• El/la Responsable del sistema podrá serlo para todo el grupo, o bien uno/a para cada sociedad integrante del mismo.
• El Sistema interno de información podrá ser uno para todo el grupo.
• Será admisible el intercambio de información entre los/as diferentes Responsables del Sistema del grupo, si los hubiera, para la adecuada coordinación y el mejor desempeño de sus funciones.

El presente procedimiento, conforme al artículo 64 del Estatuto de trabajadores, deberá ser comunicado a la representación legal de las personas trabajadoras en cumplimiento de su derecho a ser informados/as y consultados/as por el empresario sobre aquellas cuestiones que les puedan afectar.

¿DE QUÉ SE PUEDE INFORMAR?

El ámbito de aplicación objetivo no se limita a las infracciones del ordenamiento jurídico europeo, sino que se incluyen también los incumplimientos del derecho nacional.

A título enunciativo y no limitativo, se puede informar sobre infracciones en los siguientes ámbitos:

• Laboral (acoso, privacidad, igualdad, discriminación)
• Finanzas (robo, soborno, blanqueo, malversación)
• Medio ambiente (residuos, vertidos, contaminación)
• Infraciones del derecho de la UE
• Penales
• Infraciones administrativas graves o muy graves
• Etc.

¿CUÁL ES EL CONTENIDO DE UNA INFORMACIÓN?

Las personas que realicen comunicaciones sólo deberán proporcionar aquella información específica y objetiva que sea necesaria para determinar si el objeto de su comunicación es relevante a los efectos de la información.

En este sentido, los/as interesados/as deberán evitar, salvo que sea indispensable para entender el alcance de su comunicación, facilitar datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, así como datos biométricos, datos relativos a la salud o datos relativos a la vida sexual u orientaciones sexuales de la persona interesada o informante,del resto de personas afectadas o de terceros.

¿QUÉ SE PROTEGE?

Las informaciones y comunicaciones sobre infracciones de derecho comunitario, así como sobre infracciones penales y administrativas graves o muy graves.

¿QUIÉN PUEDE UTILIZAR EL SISTEMA DE INFORMACIÓN?

En este sentido, se distinguirá el ámbito de aplicación plena para las personas físicas que tengan la condición de informantes, y un ámbito de aplicación parcial para las personas que, sin ser informantes bien por prestarle asistencia o por formar parte de su entorno, pudieran ser objeto de represalias y por ello deban contar con algún régimen de protección.
Así, tendrán la consideración de “informantes” sólo las personas físicas, a título individual, que hayan obtenido informaciones sobre infracciones en un contexto laboral o profesional en un sentido amplio. De manera que se extiende la protección a todas aquellas personas que tienen vínculos profesionales o laborales con entidades tanto del sector público como del sector privado, y también a aquéllas que ya han finalizado su relación profesional, o sean becarias, voluntarias, desarrollen trabajo en prácticas o en período de formación, e incluso personas que participen en procesos de selección; o a personal de contratistas, entre otras.

¿A QUIÉN SE PROTEGE?

Las personas que mantengan un vínculo con la organización, en particular:

• Personas autónomas, accionistas, partícipes, miembros del órgano de administración, dirección o supervisión de una empresa; plantilla de contratistas, subcontratistas y proveedores; con relación finalizada o por comenzar, e incluso voluntarios, becarios y trabajadores en periodos de formación con o sin retribución.
• Personas físicas que en el marco de la organización en la que preste servicios el/la informante, le asistan en el proceso.
• Personas físicas que estén relacionadas con el/la informante y que puedan sufrir represalias, como compañeros de trabajo o familiares.
• Personas jurídicas para las que el/la informante trabaje o con las que mantenga cualquier otro tipo de relación en un contexto laboral o en las que ostente una participación significativa.

El sistema de información, cualquiera que sea su forma de gestión, deberá:

• Permitir a todas las personas comunicar información sobre las infracciones.
• Estar diseñado, establecido y gestionado de forma segura, de manera que se garantice la confidencialidad de la identidad del/la informante y de cualquier tercero mencionado en la comunicación.
• Permitir la presentación de comunicaciones por escrito o verbal, o de ambos modos.
• Integrar los distintos canales internos de información que pudieran establecerse dentro de la organización.
• Garantizar que las comunicaciones puedan tratarse de manera efectiva.
  Ser independientes y aparecer diferenciados respecto de los sistemas internos de información de otras entidades u organismos.
• Contar con una persona responsable del sistema.
• Contar con una política o estrategia que enuncie los principios generales en materia de Sistema interno de información.
• Establecer las garantías para la protección de los/as informantes.

En caso de externalizar el sistema con terceros, se exigirá garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto de las comunicaciones. El tercero externo que gestione el Sistema Interno de Información tendrá la consideración de encargado del tratamiento a efectos de la legislación sobre protección de datos personales y se regirá según lo previsto en el artículo 28 del RGPD.

En caso de tener página web, la información sobre el Sistema de Información interno deberá estar disponible en la página de inicio, en una sección separada y fácilmente identificable.

Además, deberá contener la siguiente información:

• el uso de todo canal interno de información que hayan implantado.
• los principios esenciales del procedimiento de gestión.

Las personas informantes tienen derecho a la confidencialidad, a no recibir represalias, al anonimato y a la información, de conformidad con lo dispuesto en la presente política.

Se garantiza el derecho a la total confidencialidad respecto a la identidad de la persona informante y del contenido íntegro de la información de la misma, así como de todas aquellas personas intervinientes, directa o indirectamente afectadas, mediante lo establecido a tales efectos en el presente documento.
Se prohíbe la adopción, por parte de la organización, de cualquier tipo de represalia o tentativa de represalia contra la persona informante como consecuencia de la información facilitada.

Toda persona informante podrá comunicar su información directamente a la Autoridad Independiente de Protección del Informante1 (A.A.I.) a través de su canal oficial (bien sea la autoridad nacional o autonómica). Y lo podrá hacer directamente o previo a hacerlo por el canal interno corporativo.

1 La A.A.I. todavía no se ha constituido, ni a nivel nacional ni a nivel local, a la fecha de aprobación de esta política interna.

Durante la tramitación del expediente las personas afectadas por la comunicación tendrán derecho a la presunción de inocencia, al derecho de defensa y al derecho de acceso al expediente en los términos regulados en esta ley, así como a la misma protección establecida para las personas informantes, preservándose su identidad y garantizándose la confidencialidad de los hechos y datos del procedimiento.
Las personas afectadas ostentarán la totalidad de los derechos y de las garantías fundamentales reconocidas legalmente, siendo estos:

• Derecho a la presunción de inocencia.
• Derecho a su defensa durante el procedimiento.
• Derecho de acceso al expediente, con las limitaciones que establece la Ley2.

El órgano de administración u órgano de gobierno de cada entidad, pública o privada, es el responsable de la implantación del Sistema interno de información, previa consulta con la representación legal de los trabajadores, y tendrá la condición de responsable del tratamiento de los datos personales. Así mismo, las entidades deben designar un/a responsable del sistema interno de información que puede ser una persona o un órgano colegiado y cuyo nombramiento, destitución o cese debe depender del órgano de administración o gobierno de la entidad. Este cargo puede recaer en el/la responsable de la función de cumplimiento normativo siempre que ostente un cargo directivo, en el sector privado, y, en todo caso, sea una persona con independencia y autonomía.
El nombramiento, cese o destitución del responsable se formalizará por escrito.

El uso del sistema interno de información se debe hacer de forma responsable y con la finalidad que se le ha conferido. Por ello, no se tolerará el uso de este canal de comunicación con fines distintos a los establecidos en el presente documento. Además, se podrán adoptar medidas disciplinarias ante aquellos/as que hagan un uso indebido del mismo.

2 A fin de garantizar el derecho de defensa de la persona afectada, la misma tendrá acceso al expediente sin revelar información que pudiera identificar a la persona informante, pudiendo ser oída en cualquier momento, y se le advertirá de la posibilidad de comparecer asistida de abogado.

Al menos anualmente, el/la responsable del sistema evaluará la eficacia del protocolo, revisará su conformidad con la normativa aplicable y actualizará el contenido cuando proceda, dejando constancia en el control de versiones del presente documento. La evaluación se podrá llevar a cabo, por ejemplo, a través de cuestionarios anónimos que midan el conocimiento, uso y satisfacción del canal. La Dirección de la organización aprobará esta política y el/la responsable del sistema responderá de su tramitación diligente.

A continuación, se describe el procedimiento interno: notificación, análisis, investigación y resolución.

CANAL INTERNO

Se permitirá realizar las comunicaciones:

• Por escrito, a través del correo postal a la dirección CAMINO AZAGADOR DE LA TORRETA, 5., 12110, Alcora, Castellón, y a la atención del/la Responsable del sistema.
• Por medios electrónicos. A través del link y/o correo electrónico indicados en la página web de
  la entidad en el apartado de Canal Ético.
• Verbalmente, por vía telefónica o mediante sistema de mensajería de voz, a través del número indicado en la página web de la entidad en el apartado Canal Ético.
• A través de una reunión presencial, bajo solicitud del/la informante, comunicando al/a la
  Responsable del sistema mediante cita previa por los medios indicados en la página web en el apartado de Canal Ético.
  En el caso de las comunicaciones verbales o reuniones presenciales3, se documentarán de la siguiente forma, previo consentimiento del/la informante:
• Mediante una grabación de la conversación en un formato seguro, duradero y accesible.
• O bien, a través de una transcripción completa y exacta de la conversación realizada por el personal responsable de tratarla.
  En todo caso, se ofrecerá al/la informante la oportunidad de comprobar, rectificar y aceptar mediante su firma la transcripción de la conversación.

CANAL EXTERNO

En todo caso, la persona informante podrá acudir al canal externo de la Autoridad Independiente de Protección del Informante, A.A.I., o, en su caso, a las autoridades u órganos competentes de las comunidades autónomas.

REVELACIÓN PÚBLICA

Se entiende por revelación pública la puesta a disposición del público de información sobre acciones u omisiones.
Cuando los cauces internos o externos no hayan funcionado, bien porque el/la informante los haya utilizado sin resultado, o cuando exista una amenaza inminente para el interés público, o exista un riesgo de represalias o de no tratamiento efectivo, el/la informante podrá utilizar la vía o canal de la revelación pública, esto es, usar plataformas web, redes sociales, medios de comunicación, o equivalentes para dar publicidad a su información.

Si la organización tiene conocimiento de la información facilitada a través de una revelación pública, se someterá igualmente a las obligaciones y requisitos de esta política, así como a la ejecución de sus fases.

El responsable del Sistema, es decir, la persona física encargada de gestionar el sistema interno de información ejercerá sus funciones bajo los principios de confidencialidad, exhaustividad, respeto y dignidad durante todo el procedimiento.

NOMBRAMIENTO, DESTITUCIÓN O CESE

Su nombramiento, destitución o cese debe depender del órgano de administración o gobierno de la organización y se formalizará por escrito. Así mismo, tanto el nombramiento como el cese de la persona física individualmente designada, deberán ser notificados a la Autoridad Independiente de Protección del Informante, A.A.I., o, en su caso, a las autoridades u órganos competentes de las comunidades autónomas en el ámbito de sus respectivas competencias, en el plazo de los diez días hábiles siguientes, especificando, en el caso de su cese, las razones que han justificado el mismo.

Las irregularidades deberán ser comunicadas con la máxima información disponible al respecto. Una lista mínima de información requerida al solicitante podría ser:

• Hecho sobre el que informar
• Persona(s) afectad(s)
• Fecha y lugar de los hechos (cuando ocurrieron)

Así mismo, a las informaciones deberán acompañarse todos los elementos probatorios de los que disponga el/la informante.

Se deberá contar con un libro-registro de las informaciones recibidas y de las investigaciones internas
que hayan dado lugar, garantizando en todo caso, los requisitos de confidencialidad.
Este registro será privado y únicamente se podrá proporcionar a petición razonada, a la Autoridad Judicial competente en el marco de un procedimiento judicial, en el cual podrá accederse total o parcialmente al contenido del registro. Los datos personales relativos a las informaciones recibidas y a las investigaciones internas de este registro solo se conservarán durante el período que sea necesario y proporcionado a efectos de cumplir con esta ley4. En ningún caso podrán conservarse los datos por un período superior a diez años.

Las condiciones de protección a las personas informantes se producirán en las siguientes circunstancias:

• Tengan motivos razonables para pensar que la información referida es veraz en el momento de la comunicación o revelación, aun cuando no aporten pruebas concluyentes, y que la citada información entra dentro del ámbito de este sistema de información interno.
• La revelación pública se ha realizado dentro de los parámetros que establece esta ley.

Por su parte, quedan excluidos de protección las personas informantes que comuniquen o revelen:

• Informaciones contenidas en comunicaciones que hayan sido inadmitidas.
• Informaciones vinculadas a reclamaciones sobre conflictos interpersonales o que afecten únicamente al/la informante y a las personas a las que se refiera la comunicación o revelación.
• Informaciones que ya estén completamente disponibles para el público o que constituyan meros rumores.

PROHIBICIÓN DE REPRESALIAS

Se prohíben expresamente los actos constitutivos de represalia, incluidas las amenazas de represalia y las tentativas de represalia contra las personas que presenten una comunicación a través del sistema interno.

Se entiende por represalia cualesquiera actos u omisiones que estén prohibidos por la ley, o que, de forma directa o indirecta, supongan un trato desfavorable que sitúe a las personas que las sufren en desventaja particular con respecto a otra/s en el contexto laboral o profesional, solo por su condición de informantes, o por haber realizado una revelación pública. Algunos ejemplos, a título meramente enunciativo, serían:

• Suspensión del contrato de trabajo, despido o extinción de la relación laboral o estatutaria, incluyendo la no renovación o la terminación anticipada de un contrato de trabajo temporal una vez superado el período de prueba, o terminación anticipada o anulación de contratos de bienes o servicios, imposición de cualquier medida disciplinaria, degradación o denegación de ascensos y cualquier otra modificación sustancial de las condiciones de trabajo y la no conversión de un contrato de trabajo temporal en uno indefinido, en caso de que el/la trabajador/a tuviera expectativas legítimas de que se le ofrecería un trabajo indefinido.
• Daños, incluidos los de carácter reputacional, o pérdidas económicas, coacciones, intimidaciones, acoso u ostracismo.
• Evaluación o referencias negativas respecto al desempeño laboral o profesional.
• Inclusión en listas negras o difusión de información en un determinado ámbito sectorial, que dificulten o impidan el acceso al empleo o la contratación de obras o servicios.
• Denegación o anulación de una licencia o permiso.
• Denegación de formación.
• Discriminación, trato desfavorable o injusto.

Durante la tramitación del expediente las personas afectadas por la comunicación tendrán derecho a la presunción de inocencia, al derecho de defensa y al derecho de acceso al expediente en los términos regulados en esta política, así como a la misma protección establecida para los informantes, preservándose su identidad y garantizándose la confidencialidad de los hechos y datos del procedimiento.

MEDIDAS DE APOYO

Así mismo, se prevén determinadas medidas de apoyo a las que podrán acceder los/as informantes, tales como, asesoramiento público y gratuito sobre procedimientos y recursos disponibles, asistencia efectiva por parte de las autoridades en relación con la protección frente a represalias o, en su caso, apoyo financiero o psicológico.

RECEPCIÓN Y ANÁLISIS PRELIMINAR DE LA INFORMACIÓN

Una vez recibida la información, se procederá a su registro y en un plazo de siete días naturales se remitirá un acuse de la recepción de la misma a la persona informante, salvo que haya indicado expresamente que no desea recibir comunicaciones relativas a la investigación.

A continuación, se procederá a su análisis pudiendo resultar del mismo su archivo, o la apertura de un expediente si de la información resulta algún indicio de criminalidad, de incumplimiento de la normativa penal y/o administrativa o de la normativa interna de la organización.

FASE DE ARCHIVO O ADMISIÓN DE LA INFORMACIÓN

La decisión de archivo o admisión no superará los diez días hábiles.
Si la información resultara infundada, estuviera fuera del ámbito de aplicación del canal o si no existen indicios suficientes para ser considerada una irregularidad o un acto contrario al Código Ético, a las normas y a las políticas internas de la organización o al incumplimiento de alguna ley, normativa o reglamento, el Responsable del sistema procederá al archivo de la misma notificando a la persona informante dentro de los cinco días hábiles siguientes a la decisión, salvo que el/la informante haya indicado expresamente que no desea recibir comunicaciones relativas a la investigación. Los datos personales que puedan aparecer en la información serán eliminados o anonimizados del canal en cumplimiento de la normativa de protección de datos.
Si de la información se desprendieran indicios sobre su fundamento, ésta se admitirá y el Responsable del sistema lo pondrá en conocimiento de la persona informante dentro de los cinco días hábiles siguientes a la decisión, salvo que el/la informante haya indicado expresamente que no desea recibir comunicaciones relativas a la investigación. Por su parte y dentro del mismo plazo, también se dará traslado a las personas afectadas de:

• Los hechos informados, de forma sucinta.
• De su derecho a presentar alegaciones.
• Y de su derecho a la protección de datos.

En ningún caso se comunicará a las personas afectadas la identidad del informante ni se les dará acceso a la comunicación sobre la información realizada.

FASE DE INSTRUCCIÓN

Tras la admisión de la información y durante la tramitación del procedimiento, la organización podrá adoptar, por iniciativa propia o a solicitud del Responsable del sistema, las medidas cautelares procedentes dirigidas al cese inmediato del incumplimiento normativo que se estuviese produciendo. La adopción de tales medidas deberá acordarse por escrito.

En el mismo, se expondrán detalladamente:

• Las razones y necesidades que conducen a la adopción de las medidas cautelares.
• La duración que tendrán las mismas
• La identificación de las medidas concretas que se adoptan,
• Un juicio de proporcionalidad entre las medidas adoptadas y los fines perseguidos por aquéllas.

La adopción de medidas cautelares será excepcional y se optará siempre por la medida menos gravosa de entre las más eficaces, necesarias y útiles para lograr los fines perseguidos.

Con las debidas medidas de transparencia y confidencialidad, una vez confirmado que la información cumple los requisitos exigidos por la norma, se iniciará el proceso de investigación cuya duración máxima será de 3 meses desde la recepción y confirmación de la comunicación a la persona informante e incluso si no se remitió un acuse de recibo por su decisión propia de no recibir comunicaciones. La investigación podría ampliarse a seis meses cuando sea necesario debido a circunstancias específicas del caso, en particular la naturaleza y la complejidad del objeto de la información, que puedan justificar una investigación larga.
Durante dicho período, la persona Responsable del sistema practicará las pruebas necesarias para una eficaz investigación de los hechos (entrevistas a implicados, solicitud de documentos, obtención de información a través de otras personas o de fuentes externas, etc.).
Durante la instrucción se dará noticia de la comunicación, con sucinta relación de los hechos, al investigado/a y tendrá acceso al expediente sin revelar información que pudiera identificar a la persona informante.
Como parte de la fase de instrucción y siempre que sea posible, se podrá realizar una entrevista con la persona afectada en la que, siempre con absoluto respeto a la presunción de inocencia, se le invitará a exponer su versión de los hechos y a aportar aquellos medios de prueba que considere adecuados y pertinentes. A fin de garantizar el derecho de defensa de la persona afectada, la misma tendrá acceso al expediente sin revelar información que pudiera identificar a la persona informante, pudiendo ser oída en cualquier momento.
El/la responsable del sistema interno tendrá las facultades suficientes para dirigirse a cualquier departamento o persona de la organización para solicitar su colaboración especializada, y obtener la información o documentación necesaria.

El proceso de investigación se llevará a cabo con el máximo rigor para comprobar la veracidad de los hechos, respetando la presunción de inocencia, el derecho a su intimidad y los demás derechos que asisten a las personas afectadas.
Todas las personas participantes en el proceso estarán obligadas a guardar secreto sobre las informaciones que conozcan con ocasión de dicha labor.

FASE DE RESOLUCIÓN Y MEDIDAS

Concluida la investigación, se emitirá un informe de instrucción debidamente justificado en el que se propondrá al órgano directivo de la organización alguna de las siguientes recomendaciones:

• El archivo de la información, si se comprueba que el incumplimiento normativo no se ha producido. Las partes deberán ser informadas de este extremo y se cerrará el expediente.
• Las medidas correctoras o sancionadoras que procedan si resultase acreditado el incumplimiento normativo. Estas medidas, en función del resultado que haya arrojado la investigación y el expediente tramitado, pueden consistir en la imposición de alguna sanción de acuerdo con lo establecido en los manuales internos de la entidad (Código Ético, Manual de Compliance, normativa interna etc.) o en el traslado al juez o a la fiscalía de los hechos por su carácter penal, así como, en su caso, la adopción de las medidas preventivas que se estimen oportunas para evitar que incumplimientos similares se vuelvan a producir.

Además, el informe que se emita deberá contener, al menos, los siguientes puntos:

• Una exposición de los hechos relatados junto con la fecha de registro.
• La clasificación de la comunicación a efectos de conocer su prioridad o no en su tramitación.
• Las actuaciones realizadas con el fin de comprobar la verosimilitud de los hechos.
• Las conclusiones alcanzadas en la instrucción y la valoración de las diligencias y de los indicios que las sustentan.

En aquellos casos en los que la organización proceda a comunicar a la justicia los hechos informados e investigados, pondrá a disposición de las autoridades judiciales competentes el expediente íntegro resultante de la investigación, incluyendo la totalidad de las pruebas obtenidas en el marco de la misma.

Así mismo, en caso de incoación del correspondiente procedimiento judicial, la organización prestará completa colaboración con la autoridad judicial competente para la debida y adecuada investigación y esclarecimiento de los hechos.

Con independencia de la decisión que se adopte en relación con la finalización de la investigación, dicha decisión deberá quedar documentada en el expediente correspondiente.

Esta fase, que se considera la finalización de la Fase 3 anterior, se incluirá dentro del plazo de los 3 meses (Fase 3 y 4 conjuntas).

A continuación, se describen las consideraciones en materia de protección de datos según las disposiciones legales siguientes:

• Reglamento (UE) 2016/679 General de Protección de Datos (RGPD).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
• Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

LICITUD DEL TRATAMIENTO

Cuando la implantación del Sistema interno de información sea obligatoria, se presumirá lícito en cumplimiento de una obligación legal aplicable6. De no establecerse como obligatorio o mediante una revelación pública, el tratamiento de datos estará amparado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable7.

Del mismo modo, en los casos de comunicación de datos dentro de la organización, siempre de forma confidencial y a las personas autorizadas, se entenderá lícita esta comunicación en base a criterios normativos.
Cuando se produzcan tratamientos de datos de categoría especial por razones de un interés público esencial, será lícito este tratamiento en virtud del artículo 9.2.g) RGPD.

TRANSPARENCIA E INFORMACIÓN

Los/as informantes que utilicen el canal, deberán ser informados/as de acuerdo con el artículo 13 RGPD y el artículo 11 LOPDGDD.
A los/as informantes y a quienes lleven a cabo una revelación pública se les informará, además de forma expresa, de que su identidad será en todo caso reservada, que no se comunicará a las personas a las que se refieren los hechos relatados ni a terceros.
La/s persona/s a la/s que se refieran los hechos relatados no será/n en ningún caso informada/s de la identidad del informante.
Así mismo, los/as empleados/as y terceros deberán ser informados/as acerca del tratamiento de datos personales en el marco de los sistemas de información.

En el caso de los/as empleados/as, deberán haber sido informados/as previamente de la existencia de estos sistemas y del tratamiento de los datos que conlleva la formulación de una comunicación. La información puede proporcionarse por varios cauces:

• Directamente en el contrato de trabajo.
• Individual o colectivamente al implementar o modificar el sistema.
• Mediante circulares informativas al personal y a su representación informando de la existencia y finalidad de un tratamiento de datos relacionado con estos buzones o sistemas de información interno.

DERECHOS DE LOS/AS INTERESADOS/AS

Los/as interesados/as podrán ejercitar sus derechos en materia de protección de datos. Sin embargo, en caso de que la/s persona/s a la/s que se refieran los hechos relatados ejerciese/ejerciesen el derecho de oposición, se presumirá que, salvo prueba en contrario, existen motivos legítimos imperiosos que legitiman el tratamiento de sus datos personales.

ACCESO A LOS DATOS

El acceso a los datos contenidos en el sistema interno de información quedará limitado exclusivamente a:

• El/la Responsable del sistema y a quien lo gestione directamente.
• El/la responsable de recursos humanos o el órgano competente debidamente designado, sólo cuando pudiera proceder la adopción de medidas disciplinarias contra un/a trabajador/a.
• El/la responsable de los servicios jurídicos de la entidad u organismo, si procediera la adopción de medidas legales en relación con los hechos relatados en la comunicación.
• Los/as encargados/as del tratamiento (si existen para este procedimiento).
• El/la delegado/a de protección de datos (si se ha designado internamente).

El acceso a los datos por parte de personas distintas a las anteriores será válido sólo cuando resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.

MINIMIZACIÓN DE DATOS

No se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una información específica o, si se recopilan por accidente, se eliminarán sin dilación indebida.

En ningún caso serán objeto de tratamiento los datos personales que no sean necesarios para el conocimiento e investigación de las acciones u omisiones, procediéndose, en su caso, a su inmediata supresión. Así mismo, se suprimirán todos aquellos datos personales que se puedan haber comunicado y que se refieran a conductas que no estén incluidas en el ámbito de aplicación de la ley.

DATOS ESPECIALMENTE PROTEGIDOS

Si la información recibida contuviera datos personales incluidos dentro de las categorías especiales de datos, se procederá a su inmediata supresión, sin que se proceda al registro y tratamiento de los mismos.

CONSERVACIÓN DE LOS DATOS

Los datos que sean objeto de tratamiento podrán conservarse en el sistema de informaciones únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados.

Si se acreditara que la información facilitada o parte de ella no es veraz, deberá procederse a su inmediata supresión desde el momento en que se tenga constancia de dicha circunstancia, salvo que dicha falta de veracidad pueda constituir un ilícito penal, en cuyo caso se guardará la información por el tiempo necesario durante el que se tramite el procedimiento judicial.

En todo caso, transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema.

Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo de la normativa de protección de datos.

CONFIDENCIALIDAD

La identidad de la/s persona/s que informe/informen no será revelada a terceras personas.
Los sistemas de información, tanto internos como externos, no deberán obtener datos que permitan la identificación del/la informante.

Además, estos sistemas deberán contar con medidas técnicas y organizativas adecuadas para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a la/s persona/s afectada/s y a cualquier tercero que se mencione en la información suministrada, especialmente la identidad del/la informante en caso de que se hubiera identificado.

La identidad del/la informante sólo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora. En estos casos, se trasladará a la persona informante antes de revelar su identidad, salvo que dicha información pudiera comprometer la investigación o el procedimiento judicial.

REGISTRO DE ACTIVIDADES DE TRATAMIENTO

El tratamiento de los datos personales realizado mediante el sistema interno de información requiere la creación de un registro de actividades de tratamiento. Éste deberá contener, al menos:

• Los fines del tratamiento.
• Una descripción de las categorías de interesados y de las categorías de datos personales.
• Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
• En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluidas las garantías adecuadas.
• Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
• Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

ANÁLISIS DE RIESGOS

El tratamiento de datos personales realizado mediante el sistema interno de información requiere que se analicen las amenazas a las que puede verse expuesto en materia de protección de datos, a través de un análisis de riesgos.

A partir de todo lo expuesto en esta política, a continuación se describen los diferentes puntos de verificación para implementar las obligaciones de esta Ley.

SOBRE LA PERSONA RESPONSABLE DEL SISTEMA:

• Debe designarse formalmente, conocer sus funciones y obligaciones, y gestionar el sistema interno de información de forma diligente y responsable.
• Del mismo modo, su destitución o cese también deberá ser formalizado.

SOBRE EL DISEÑO DEL SISTEMA EN LA WEB:

• Debe crearse una sección específica. Por ejemplo: “Sistema de Información Interno”.
• Esta nueva sección web debe contener los siguientes requisitos informativos:
  Contar con una política o estrategia que enuncie los principios generales en materia de Sistema interno de información.
  El uso de todo canal interno de información que hayan implantado.
  Los principios esenciales del procedimiento de gestión.

El sistema diseñado en la página web debe cumplir con determinados requisitos técnicos que permitan proteger los intereses del/la informante, de las personas afectadas, así como de la propia organización para afrontar posibles responsabilidades. Esto es:

• Opción a presentar informaciones anónimas, y que las posteriores comunicaciones sigan siendo anónimas.
• Cifrado de datos en tránsito, que garantice la confidencialidad de la información que se transmite a través de internet.
• Control de acceso, dotando acceso al Sistema Interno de Información sólo a las personas autorizadas en base a la Ley.
• Registro de actividad, que permita saber en todo momento y sin lugar a dudas todas las acciones que se realizan sobre la información, desde que llega al sistema interno de información, hasta que se cierra el expediente. Esto es: qué usuario (autorizado) consulta, modifica o borra una información en el sistema, y en qué momento exacto realiza cada acción.
• Debe permitir al informante conocer el estado o tramitación de su información.

SOBRE LA INCLUSIÓN DE LA PROTECCIÓN DE DATOS EN EL DISEÑO DEL SISTEMA EN LA WEB:

• El uso de un formulario de información9 deberá contener una información básica y completa sobre protección de datos.
• Si se opta por la vía telefónica, deberá contener una locución sobre información básica y completa sobre protección de datos.
• Si se opta por la vía de mensaje de voz, deberá aparecer un aviso sobre información básica y completa sobre protección de datos.
• Si se opta por la vía de solicitar/aceptar una reunión presencial, deberá utilizarse un formulario en soporte papel en la reunión física que se celebre con el Responsable del sistema, que contendrá un aviso sobre información básica y completa sobre protección de datos.

SOBRE LA TRANSPARENCIA AL COMITÉ O REPRESENTANTES DE LOS TRABAJADORES:

• De conformidad con los deberes de responsabilidad y transparencia, se pondrá en conocimiento la presente política al comité de empresa o a la representación de los trabajadores, según corresponda.

SOBRE LA TRANSPARENCIA A LOS TRABAJADORES:

• De conformidad con los deberes de responsabilidad y transparencia, se pondrá en conocimiento de los/as trabajadores/as, previa comunicación al comité de empresa o a la representación de las personas trabajadoras, la existencia del canal y su objeto.

SOBRE EL LIBRO-REGISTRO DE INFORMACIONES:

• Debe mantenerse un registro con las informaciones recibidas y las investigaciones internas a que hayan dado lugar.

SOBRE OTROS REQUISITOS DE PROTECCIÓN DE DATOS:

• Crear el registro de actividades de tratamiento para este canal.
• Realizar en análisis de riesgos para este canal.