Denunciar anónimamente por correo electrónico (si se hace con la dirección propia de uno), no tiene nada de anónimo. Y si la dirección que se utiliza es falsa, al no poder comprobarla, puede ser que la denuncia no pueda ser debidamente atendida.
Los canales de denuncia han estado siendo un buen medio para recabar informaciones sobre violaciones éticas o del código de conducta interna de la empresa (sobre medio ambiente, poca transparencia, discriminación, irregularidades financieras, acoso…). Por lo general, el medio que se ha adoptado es remitirlos a una dirección de correo habilitada a tal fin: pero con ello no se garantiza ni la confidencialidad del denunciante, ni la seguridad de la información; y Europa se ha propuesto que deje de ser así con una nueva Directiva (aunque previamente ya se aprobaron oficialmente por el Consejo de la Unión Europea, en 2019, nuevas normas sobre la protección de los denunciantes contra las represalias).
La nueva Directiva Europea sobre la protección de los denunciantes tiene fecha de puesta en marcha: 17 de diciembre de 2021. Para entonces, ya se podrá aplicar a las entidades, públicas y privadas, con más de 50 empleados. La fecha, para personas jurídicas del sector privado con entre 50 y 249 empleados es 17 diciembre 2023.
A destacar de la Directiva:
- Obligatoriedad de creación del Canal de Denuncias –efectivo y eficiente– en entidades públicas y privadas. Con más de 50 empleados (empresas) y en todas las entidades jurídicas del sector público [i] [ii]
- Jerarquía de los canales de denuncia: con preferencia, utilización, inicial, del canal de denuncia interno.
- Alcance: contratación pública, servicios financieros, prevención del blanqueo de dinero, la salud pública…
- Garantías de protección a los denunciantes (y a quienes les ayuden, sus compañeros y familiares) de represalias.
- Acuse de recibo de la denuncia antes de 7 días.
- Obligación de responder y tener informado al denunciante.
- Trazabilidad y auditoría interna (esencial poder contar con un sistema de gestión de denuncias que contemple un registro de las actividades tratadas).
- Obligación de informar al denunciante en un plazo razonable [iii].
- Se exige el establecimiento de procedimientos de presentación de informes y de vigilancia para garantizar la confidencialidad de la información, para así proteger al denunciante.
- Posibilidad de que el denunciante acuda a las autoridades si considera que no va a ser atendida eficazmente su denuncia, o ante posibles represalias.
Los servidores de correo, si no están encriptados, no son una buena herramienta de protección de datos. Así, se puede considerar escoger la herramienta a utilizar para el canal de denuncia, externalizándola en un tercero (o en modo SaaS), bajo norma ISO 27001, que cumpla con el RGPD y que certifique que sus servidores superan, periódicamente, PenTest (pruebas contra ataques).
[i] Podrán quedar exentos los municipios de menos de 10.000 habitantes.
[ii] La LOPDGDD posibilita la denuncia anónima, un anonimato que queda al descubierto si se utiliza el correo electrónico.
[iii] La Directiva exige proporcionarla en un plazo de tres meses desde el envío del acuse de recibo de la denuncia.