01 Introducción
El presente documento tiene como objeto la comparación y especificación del cumplimiento de la herramienta GlobalSuite Canal de Denuncias con los marcos normativos aplicables.
Concretamente se recoge el cumplimiento de la plataforma con:
· Directiva Europea 2019/1937
· ISO 37002 sobre sistemas de gestión de denuncias.
· Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Aplicable sólo a España.
· Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
02 Directiva (UE) 2019/1937
El principal objetivo de la directiva (UE) 2019/1937 es garantizar la protección de los denunciantes cuando informen sobre posibles infracciones. En este sentido, la norma establece un marco común mínimo para garantizar esa protección de manera efectiva. GlobalSuite permite a las organizaciones implementar y asegurar este marco de protección a través de su Canal de Denuncias, proporcionando la máxima transparencia y seguridad.
En primer lugar, destacar que el Canal de Denuncias de GlobalSuite permite la comunicación interna de denuncias dentro de las organizaciones permitiendo cubrir, con un único canal, el alcance completo del término "denunciante" que recoge la directiva: trabajadores, personas en situación de dependencia económica de la empresa, contratistas y proveedores. De esta manera las organizaciones dispondrán de un sistema centralizado donde analizar, investigar y gestionar todas las comunicaciones sobre posibles infracciones ahorrando costes y tiempo y creando un centro de investigación común.
La característica más importante del Canal de Denuncias de GlobalSuite con respecto al cumplimiento de la directiva 2019/1937, consiste en que las organizaciones podrán asegurar la confidencialidad y protección del denunciante desde varias perspectivas. La primera de ellas es permitir la creación de denuncias anónimas sin necesidad de requerir, transferir, ni almacenar ningún tipo de dato personal que pudiera comprometer la identidad del denunciante. En segundo lugar, la seguridad está garantizada en todas las capas y componentes de la aplicación: desde la recolección de la información, a través del cifrado de las comunicaciones o del almacenamiento de los datos cifrados en las bases de datos del sistema. En tercer lugar, GlobalSuite pone a disposición de las organizaciones un sistema de roles y permisos que garantizan el acceso a la información, sistemas de logs donde se registra todas las actuaciones de todos los implicados y una monitorización continua del sistema.
Además, permite gestionar el ciclo de vida de la denuncia y asegurar los plazos de vigencia de las mismas habilitando a las organizaciones sistemas de alertas sobre la temporalidad de las denuncias y permitiendo su transferencia a canales alternativos fuera de los entornos productivos.
03 ISO 37002 sobre Sistemas de Gestión de denuncias
La norma ISO 37002 establece elementos esenciales que deberán cumplir las herramientas de Canales de Denuncias y que GlobalSuite cumple actualmente:
-
Asignación de roles y responsabilidades. En este sentido el canal de denuncias de GlobalSuite permite establecer varios roles y niveles de acceso al canal de denuncias para delimitar las responsabilidades y actuaciones de cada uno de ellos, permitiendo el acceso de terceros independientes para la gestión de las denuncias. Toda actividad es registrada en el sistema de log y puede ser auditada posteriormente.
-
Clasificación y evaluación de las comunicaciones. La norma indica que el sistema tendrá que especificar un procedimiento de clasificación, identificando el riesgo. En este aspecto el Canal de Denuncias es configurable y permite crear campos específicos para implementar el sistema de clasificación y evaluación que la organización defina.
-
Investigación de las comunicaciones. En este aspecto GlobalSuite asegura el cumplimiento de la norma estableciendo un procedimiento para la investigación de las denuncias definiendo varias fases en la investigación de las mismas, permitiendo la comunicación con el denunciante (incluso aunque la denuncia sea anónima), ampliando la información y contrastando la misma y garantizando la seguridad de los denunciantes y de las personas que pudieran ser sujeto del informe a través de control de acceso, sistema de roles, cifrado de información, vigencia y temporalidad de la información, etc.
-
Cierre de denuncias. GlobalSuite permitirá el cierre de denuncias permitiendo a las organizaciones separar denuncias abiertas de las cerradas que deban ser almacenadas en entornos independientes al productivo. Además, junto con el resto de las herramientas de la plataforma GlobalSuite se podrá gestionar acciones y recomendaciones resultado de las investigaciones y del cierre de denuncias pudiendo gestionar y llevar los seguimientos de estas acciones.
04 Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción
La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción habilita que los sistemas de denuncias sean gestionados por un tercero externo; siempre y cuando el sistema ofrezca garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto de las comunicaciones de denunciante y denunciado (art. 6).
El Canal de Denuncias de GlobalSuite garantiza el cumplimiento de los extremos mencionados anteriormente permitiendo presentar la información de forma anónima para evitar la identificación del informante. Asimismo, cuenta con medidas técnicas y organizativas adecuadas para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas y a cualquier tercero que se mencione en la información suministrada, especialmente la identidad del informante en caso de que se hubiera identificado.
Entre las principales características que permite al Canal de Denuncias GlobalSuite cumplir con la ley cabe destacar:
· Accesibilidad y facilidad de uso para los denunciantes.
· Anonimato y confidencialidad asegurados.
· Protección contra posibles represalias hacia los denunciantes.
· Posibilidad de enviar denuncias de forma segura y encriptada.
· Capacidad para recibir denuncias en diferentes idiomas.
· Seguimiento y registro de las denuncias recibidas.
· Notificación de recibido y de seguimiento de la denuncia al denunciante.
· Comunicación directa y confidencial entre el denunciante y el responsable del canal de denuncias.
· Posibilidad de realizar una investigación interna a partir de la denuncia.
· Registro y documentación de las medidas tomadas para dar solución a las denuncias recibidas.
· Garantía de que el canal de denuncias no será utilizado para fines fraudulentos o con otros propósitos.
Adicionalmente, GlobalSuite Canal de Denuncias facilita la gestión y el cumplimiento de la normativa con funcionalidades añadidas como:
· Identificación de denuncias que han cumplido el plazo y notificación de estas denuncias a los gestores para otorgar un tratamiento prioritario.
· Posibilidad de anonimizar la denuncia y eliminar cualquier dato personal.
· Descarga de informes.
· Dashboard interactivo con la información más relevante de las denuncias recibidas.
Por último, el canal de denuncias también contribuye a la promoción de una cultura ética y transparente en las organizaciones, ya que permite la difusión de información relevante sobre políticas y procedimientos internos, así como la gestión de casos de conducta inapropiada o sospechosa.
GlobalSuite ostenta la consideración de encargado del tratamiento a efectos de la legislación sobre protección de datos personales. El tratamiento se regirá por el acto o contrato al que se refiere el artículo 28.3 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, de forma previa a la contratación del servicio.
05 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD)
De cara a cumplir con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, el Canal de Denuncias de GlobalSuite (a) no guarda la IP del sujeto que interpone la denuncia en los supuestos en los que el interesado decide interponen la denuncia de manera anónima y (b) almacena la información contenida en las denuncias en backups un máximo de tres (3) meses.
En relación con los logs de GlobalSuite®, estos se conservan de forma inmutable con la finalidad de evidenciar que el sistema funciona correctamente, siguiendo las directrices de la Agencia Española de Protección de Datos, la cual habilita a conservar esta tipología de información para el fin indicado anteriormente. En todo caso, la información del log se conservará durante la relación contractual con el cliente y, posteriormente, durante el plazo legal de prescripción de las acciones o normativa que resulte aplicable en la materia.
El Canal de Denuncias de GlobalSuite permite interponer denuncias de manera anónima a los interesados. No obstante, respecto de aquellas denuncias que se interponen identificando al interesado, los datos personales de quien formule la comunicación y de los empleados y terceros implicados en las denuncias, se conservan únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados. En todo caso, transcurridos tres (3) meses desde la introducción de los datos, se faculta al responsable a la supresión de la denuncia del Canal de Denuncias de GlobalSuite para cumplir con lo exigido por la LOPDGDD.