El RGPD y la denuncia de malas conductas
Cuando una persona envía un mensaje mediante una plataforma de denuncia de malas conductas, es posible que incluya datos personales en él. Por eso, las organizaciones que desean implantar un sistema de este tipo para sus empleados, proveedores u otras partes deben tener en cuenta los aspectos relacionados con la privacidad que entran en juego. Por ejemplo: ¿cómo gestionar los periodos de retención de datos para que se adapten al RGPD en los sistemas de denuncia de mala conducta?
Los datos deben guardarse el mínimo tiempo posible. Según el artículo 5 (1) (e) del Reglamento (UE) 2016/679 (el Reglamento General de Protección de Datos o RGDP): “Los datos personales podrán ser conservados (…) durante un período no superior al necesario para la consecución de los fines para los que fueron recogidos o tratados ulteriormente”.
Por lo tanto, debe pensar cuánto tiempo puede conservar los datos personas y para qué fin.
El Grupo sobre Protección de Datos del Artículo 29 ofrece más directrices en su Dictamen 1/2006: “Los datos personales tratados por un sistema de denuncia de irregularidades deberán eliminarse rápidamente, y generalmente en el plazo de dos meses tras la finalización de la investigación de los hechos alegados en la denuncia”.
No obstante, en el contexto de la denuncia de malas conductas, debe llevar a cabo algunas acciones antes de decir: “eliminamos o anonimizamos todo después de dos meses”.
¿Cómo implementar normas de conservación de datos que cumplan el RGPD en la denuncia de malas conductas?
Primero tiene que decidir cuándo se puede cerrar una investigación. Esto dependerá de cada caso. Los asuntos que “no sean casos” pueden cerrarse de inmediato, mientras que las investigaciones de conductas inapropiadas graves pueden alargarse años. Es posible que algunas investigaciones acaben en un procedimiento judicial. A veces, habrá excepciones, como las obligaciones de los departamentos de RR. HH. de conservar ciertos datos durante más tiempo (p. ej., para los registros disciplinarios).
Es importante tener esto en cuenta cuando establezca políticas de gestión y cierre de casos. No todo es blanco o negro. Cuando llega un caso, el seguimiento adecuado será diferente en función de su naturaleza. Esto influye en el periodo de conservación de datos y en desde cuándo empieza a contar.
El objetivo principal de todas estas normas de conservación de datos es que las empresas sigan pensando de forma crítica cómo guardan los datos y que se informe a las personas convenientemente. Puede adoptar un enfoque transparente en sus políticas con respecto a los datos de los individuos y dar las mismas instrucciones a las personas que gestionan los casos.
Y, por supuesto, no olvide supervisar si se está poniendo en práctica su política de cierre de casos.