Procedimiento canal de denuncias

1. PROCEDIMIENTO DE DENUNCIAS

La dirección de la empresa aprueba y documenta por escrito este procedimiento que regula el canal de denuncias, detallando el funcionamiento del sistema en todos los extremos que se relacionan a continuación.

2. OBJETO

a) Ámbito de aplicación

El canal de denuncias se aplicará a los empleados de la entidad y a todo el personal que mantenga con la empresa un vínculo contractual, tales como colaboradores, proveedores, empresas subcontratadas, etc.

b) Carácter obligatorio

Es imprescindible que la dirección de la empresa establezca el carácter obligatorio del canal de denuncias, y además es necesario que previamente hayan sido informados los representantes de los trabajadores, tal y como establece el artículo 64 del Estatuto de los Trabajadores.

c) Divulgación

El canal de denuncias será divulgado entre todos los empleados y personas que están vinculadas a la empresa. La información sobre su existencia debe figurar en todos los contratos que la empresa suscribe (empleados, proveedores, clientes, colaboradores externos, etc.) así como en la página web de la empresa.

Tanto los denunciantes como los denunciados deben ser informados previamente de la existencia del canal de denuncias y del tratamiento de los datos que conlleva la formulación de una denuncia, así como de las consecuencias que para el denunciado puede ocasionar dicha denuncia.

3. CARACTERÍSTICAS

a) Consentimiento

Para implantar el sistema de denuncias internas no es necesario contar con el consentimiento de los trabajadores de la empresa. Tampoco es necesario el consentimiento de dichos trabajadores para la comunicación a terceras partes de los datos de la denuncia, con el fin de que investiguen los hechos denunciados.

Así pues, la implantación de un canal de denuncias no requiere el consentimiento de los interesados siempre que exista con ellos un vínculo contractual y se les informe de la existencia de dicho sistema, quedando esa información incorporada a la relación contractual establecida.

b) Interposición de denuncias

El canal de denuncias debe estar a disposición de cualquier interesado que tenga relación con la empresa, utilizando para ello un vínculo incluido en el correo electrónico que se le remite a dicho interesado. Dicho vínculo le dará acceso al formulario de denuncia.

Es importante tener en cuenta que los hechos denunciados deben tener una implicación directa en la relación que exista entre el denunciante y el denunciado. Es decir no puede ser objeto de denuncia cualquier tipo de comportamiento, sino aquellos hechos que estén relacionados con su vinculación contractual a la empresa.

c) Comportamientos

Comportamientos o actuaciones delictivas sobre las que se puede interponer una denuncia, tales como: respeto a los valores éticos, respeto a la dignidad de las personas, manipulación de la información, corrupción y soborno, lealtad a la empresa, neutralidad política, relaciones con clientes, contratistas y proveedores, etc.

d) Sanciones

Tanto los denunciantes como los denunciados deberán haber sido avisados previamente de las consecuencias que para ambos puede  comportar este hecho, es decir las sanciones que conlleva con arreglo al régimen disciplinario de la entidad, sin perjuicio de posibles responsabilidades de otra índole que puedan corresponder según la sentencia de jueces, tribunales y órganos competentes.

e) Doble investigación 

En este sentido la denuncia realizada puede tener una doble vertiente:

1. Por una parte, se debe verificar si el comportamiento del denunciado es realmente irregular.

2. Y por otro lado se debe comprobar si el denunciante ha comunicado una denuncia falsa, y en este caso se debe aclarar si se trata de un simple error o por el contrario ha actuado de mala fe y con ánimo de perjudicar al denunciado.

f) Confidencialidad

Es determinante garantizar al denunciante la confidencialidad de la información durante todo el proceso. En este sentido, el término confidencialidad hace referencia a todos los extremos de la denuncia, tales como datos del denunciante, hechos, y personas cuya conducta o actuación pueda ser constitutiva de delito. Dicha confidencialidad podrá ser suspendida cuando el conocimiento de los hechos sea requerido por los jueces, tribunales o autoridad competente.

g) Denuncias anónimas

La Agencia Española de Protección de Datos «no permite» a las empresas aceptar denuncias anónimas, garantizando de esta forma la exactitud e integridad de la información que predica la normativa de protección de datos, pues en caso contrario se vulneraría el «deber de calidad» establecido en su artículo 4º.

h) Represalias

El denunciante debe tener claro que además de la confidencialidad de sus datos identificativos, también se le garantiza que no puede ser objeto de ningún tipo de represalia por el hecho de denunciar. En este sentido se le debe informar al denunciante que en el caso de estar relacionado con los hechos denunciados, la denuncia realizada tendrá un carácter atenuante para él, como consecuencia de la confesión anterior al descubrimiento al delito y por disminución de sus efectos.

4. COMITÉ DE DENUNCIAS

a) Independencia

El comité de denuncias debe hacer cumplir el procedimiento de denuncias y garantizar una eficaz gestión del sistema. Tiene que ser un órgano totalmente independiente dentro de la empresa, integrado por el Compliance Officer y los responsables de las principales áreas o departamentos de la empresa.

En el caso de que un miembro del comité esté implicado en una denuncia, este deberá abstenerse de participar en el tratamiento de la denuncia y comunicar inmediatamente al comité de esta circunstancia.

b) Funciones

Las funciones del comité de denuncias son las siguientes:

● Recibir la denuncia.
● Decidir si la denuncia se desestima o se tramita.
● Designar por cada denuncia el responsable de instrucción.
● Aprobar y motivar las excepciones al procedimiento.
   o Velar por el cumplimiento de las obligaciones establecidas por la Ley de Protección de Datos.
● Informar al consejo de administración.
● Nombrar un secretario para que levante acta de las reuniones.

c) Responsable de instrucción

El responsable de instrucción debe ser un director de departamento, y sus principales funciones son:

● Designar al instructor que llevará a cabo la investigación de cada denuncia.
● Marcar actuaciones, prioridades y plazos de ejecución.
● Aprobar el informe emitido por el instructor con el resultado de la investigación.
   o Comprobar el cumplimiento de la implantación de las medidas de seguridad establecidas por la Ley de Protección de Datos.

d) Instructor

El instructor será designado entre el personal que forma parte del departamento cuyo director es el responsable de instrucción, y sus principales funciones son:

● Documentar y registrar las denuncias recibidas.
● Investigar los hechos y recopilar evidencias.
● Documentar y registrar todas las acciones realizadas.
● Elaborar el informe bajo la supervisión del responsable de instrucción.
● Cumplir con las exigencias de la normativa de protección de datos.

5. CONSERVACIÓN DE LOS DATOS

a) Plazos

● Desde el inicio de la  investigación hasta su finalización el plazo no podrá superar los 6 meses.
● Desde la finalización de la investigación:
   o Si los hechos no se prueban, el plazo no podrá superar los 2 meses.
   o Si los hechos se prueban, el plazo no podrá superar los 2 meses a partir de finalizar el procedimiento.

b) Bloqueo

A partir de los plazos mencionados, la cancelación de la información implica el bloqueo de la misma, por si pudieran derivarse responsabilidades posteriores, algo que resulta factible en este ámbito. Se recomienda que dicho bloqueo se realice durante un plazo prudencial de un año.

El término «Bloquear» significa conservar la documentación de forma separada, sin realizar ningún tipo de tratamiento y de manera totalmente confidencial. Dicha información sólo podrá utilizarse a expensas de una reclamación judicial u otra administración pública con autoridad en la materia.

6. INFORMACIÓN A INTERESADOS

a) Deber de información al denunciante

El canal de denuncias debe de prever facilitarle al denunciante la siguiente información:

● Razón social y dirección del responsable del fichero que realiza el tratamiento.
● Finalidad del tratamiento de los datos.
● Estricta confidencialidad de los datos, excepto posibles comunicaciones a terceros implicados (testigos) en la investigación o jueces y tribunales.
● Consecuencias de realizar una denuncia falsa o con mala fe.
● No tomar represalias por parte de la empresa.
● Informar sobre la manera de ejercerlos derechos ARCO.
● Comunicar que no se tramitarán denuncias anónimas (Art. 4º de la LOPD).

b) Deber de información al denunciado y terceros implicados

La empresa deberá informar dentro de los 3 meses siguientes, contados desde el día en que se recibe la denuncia, tanto a la persona denunciada  como a las terceras partes implicadas (afectados, testigos, etc.).

Este deber de información no implica revelar la identidad del denunciante o datos que permitan deducir su identidad, si no la siguiente información:

● Que ha sido denunciado a través del canal de denuncias.
● Los hechos denunciados.
● Razón social y dirección del responsable del fichero que realiza el tratamiento.
● Finalidad del tratamiento de los datos.
● Estricta confidencialidad de los datos, excepto posibles comunicaciones a terceros implicados en la investigación o jueces y tribunales.
● Informar sobre la manera de ejercerlos derechos ARCO.

Se debe celebrar una reunión individual con cada interesado (denunciado, afectados y testigos) dentro del plazo máximo de 3 meses con el fin de redactar un acta en la que figuren las preguntas sobre los hechos denunciados y se incluya la cláusula de información, de forma que se pueda aprobar su cumplimiento ante cualquier requerimiento que pudiera hacer la Agencia Española de protección de datos.

7. DERECHOS ARCO

a) Acceso

El derecho de acceso del denunciado solo le permite obtener información de sus datos personales, y nunca sobre los datos identificativos del denunciante u otros terceros, pues de lo contrario estaríamos ante un supuesto de cesión de datos sin consentimiento.

b) Cancelación

El derecho de cancelación no podrá ser ejecutado durante la tramitación de la denuncia.

c) Oposición

El denunciado no puede interponer el derecho de oposición, es decir no puede oponerse a que sus datos sean tratados en el sistema de denuncias.

d) Obligación a contestar

Con independencia de cualquier derecho solicitado por el denunciado, la empresa está obligada a contestar al interesado siempre que la petición se haya realizado en tiempo y forma.

8. MEDIDAS DE SEGURIDAD

a) Sobre seguridades de acceso

● El permiso de acceso a las denuncias debe concederse a un grupo reducido de personas que lo necesiten.
● Debe existir una relación actualizada de usuarios con acceso.
● Las claves de usuario y contraseña deben cambiarse como mínimo una vez al año.
● De cada intento de acceso el sistema guardará durante 2 años como mínimo la siguiente información:
● La identificación del usuario que accede.
● La fecha y hora en la que realizó el acceso.
● El fichero al que accede y si ha sido autorizado.
● El compromiso de confidencialidad debe estar firmado por las personas encargadas de la gestión del canal de denuncias y permiso de acceso.

b) Sobre información

● El comité de denuncias debe estar informado de cualquier anomalía o no conformidad que aparezca.
● Se debe llevar un registro de entrada y salida de la información enviada a jueces, tribunales, etc.
● Se debe realizar la auditoría que exige la Ley de Protección de Datos sobre el fichero de denuncias internas al menos cada 2 años, informando del resultado a la dirección de la empresa.
● Toda la información relativa a denuncias internas debe estar en el sistema de información, incluyendo también los correos electrónicos.
● Las copias de seguridad deben realizarse al menos una vez a la semana
● La información no puede encontrarse en dispositivos portátiles, USB, y/o pendrive.
● El responsable de seguridad o persona en la que delegue, se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe relativo a dichas revisiones y los problemas detectados.

9. SANCIONES POR INCUMPLIMIENTO

a) Ley de Protección de Datos

La implantación de un canal de denuncias sin cumplir los requisitos establecidos por la Ley de Protección de Datos puede dar lugar a las siguientes sanciones:

● Admitir y gestionar denuncias anónimas: Supone una infracción Grave que va de 40.001€ a 300.000€
● No eliminar (bloquear) los datos de la denuncia en su plazo: Supone una infracción Grave que va de 40.001€ a 300.000€
● No informar al denunciante: Supone una infracción Leve que va de 600€ a 40.000€
● No informar al denunciado o terceros afectados: Supone una infracción Grave que va de 40.001€ a 300.000€
● No cumplir las medidas de seguridad exigidas: Supone una infracción Grave que va de 40.001€ a 300.000€ o bien, Muy Grave que va de 300.001€ a 600.000€
● No obtener autorización para TID: Supone una infracción Muy Grave que va de 300.001€ a 600.000€ 

b) Régimen disciplinario interno

Con independencia de las sanciones anteriores, la empresa puede aplicar las sanciones establecidas en el régimen disciplinario interno como consecuencia de faltas cometidas por empleados o colaboradores. Las cuantías establecidas en dichas sanciones, se aplicarán en función de diversos criterios, tales como el carácter continuado de la infracción, reincidencia y grado de intencionalidad.

10. GRUPO DE EMPRESAS

a) Localización

Cuando se trate de un grupo de empresas, la compañía matriz o la que gestiona el tratamiento del canal de denuncias deberá tener en cuenta si la transferencia de datos se realiza con otra empresa del grupo, que se encuentra:

● En un país perteneciente a la Comunidad Económica Europea.
● En un país cuyo nivel de protección de datos es equiparable al europeo.

Bien, se trate de una entidad estadounidense que se encuentre adherida a los principios de «puerto seguro».

b) Autorización

En caso de no estar en ninguno de los supuestos anteriores se estará produciendo lo que llamamos una Transferencia Internacional de Datos (TID), que exige que previamente se solicite y obtenga la autorización del director de la Agencia Española de Protección de Datos. Teniendo en cuenta que la tramitación para obtener dicha autorización puede durar hasta un máximo de 3 meses desde la fecha de solicitud.

11. GESTIÓN EXTERNA

a) Justificación

La gestión externa del canal de denuncias tiene su justificación en las posibles debilidades que pueden conllevar el hecho de que el personal de la empresa no tenga seguridades sobre la confidencialidad de sus datos y en consecuencia aparezca el miedo a denunciar.

Por otra parte, no se puede asegurar que la gestión del canal de denuncias por parte de la empresa proporcione un tratamiento objetivo e independiente de las denuncias.

Y finalmente el personal de la empresa que recibe las denuncias no es un experto en la detección de delitos y conductas delictivas.

b) Imagen

Estas circunstancias aconsejan en muchos casos externalizar el servicio de gestión de denuncias internas, pues una mala o ineficiente gestión del mismo puede resultar contraproducente para la imagen de la empresa.

c) Procedimiento

Puede presentar una denuncia ante el Compliance Officer siguiendo el siguiente enlace: Página de denuncias     Canaldenuncia@rubicon interacional.com

Facebook-f Linkedin-in Twitter Youtube
Canal ético
Qué hacemos
Contacto
Copyright © 2025. Registrada con el siguiente nº patente y marcas: M4225240(7) y M4225243(1). Diseñado por Wanna Marketing.

Advertencia legal registro de marca Rubicon

Les informamos que M4225240(7) – RUBICON INTERNATIONAL y M4225243(1) – RUBICON SIGNATURE son marcas registradas por RUBICON FINANCE NETWORK, S.L.

Cualquier uso de la palabra “RUBICÓN” sin nuestro consentimiento se verá obligado a La Cesación de los actos que violen nuestro derecho marcario, en especial: La indemnización de los daños y perjuicios sufridos. La adopción de las medidas necesarias para evitar que prosiga la violación y, en particular, que se retiren del tráfico económico los productos, embalajes, envoltorios, material publicitario, etiquetas u otros documentos en los que se haya materializado la violación del derecho de Marca así como la publicación de la sentencia a costa del condenado, mediante anuncios y notificaciones a las personas interesadas.

Así mismos les advertimos que por el artículo 34.3 e) de la L. M.: El registro de marca confiere a su titular el derecho a prohibir, en especial usar el signo en redes de comunicación telemáticas y como nombre de dominio.

Aviso legal patente de marca