Los canales de denuncia interna o canales éticos son mecanismos a través de los cuales se canalizan las denuncias o quejas de hechos o acciones que pueden constituir infracciones de las leyes o de la normativa interna (código ético) de organizaciones públicas o privadas, por sus empleados y/o los agentes relacionados con su actividad, como puedan ser proveedores, clientes, colaboradores, contratistas, subcontratistas, etc.
En cuanto a la obligación de establecer estos canales de denuncia interna, la Directiva (UE) 2019/1937, en el artículo 8.1, contempla que los Estados miembros velarán por que las entidades jurídicas de los sectores privado y público establezcan estos mecanismos, previa consulta a los interlocutores sociales y de acuerdo con ellos, cuando así lo establezca el Derecho nacional. En el apartado 3 del mismo precepto indica que se aplicará a las entidades jurídicas del sector privado cuando tengan 50 o más trabajadores.
La creación, mantenimiento y gestión de estos canales de denuncia supone un tratamiento de datos personales, por lo dicha actividad deberá adaptarse al Reglamento (UE) 2016/679 (GDPR) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), ya que así lo dispone la propia Directiva (UE) 2019/1937 en su artículo 17.
El mismo precepto de la directiva, en consonancia con los principios relativos al tratamiento regulados por el GDPR en su artículo 5, establece que no se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una denuncia específica o, si se recopilan por accidente, se eliminarán sin dilación indebida.
Al implicar la creación, mantenimiento y gestión de estos canales de denuncias un tratamiento de datos personales se deberá incluir en su Registro de Actividades de Tratamiento (RAT) conforme a lo estipulado en el artículo 30 del GDPR.
La LOPDGDD regula específicamente en su artículo 24 el tratamiento de datos personales que implican estos canales de denuncias internas. Este artículo, además de permitir expresamente la denuncia anónima, también aclara explícitamente las siguientes cuestiones aplicables tanto en entidades privadas como en Administraciones Públicas, sobre los canales de denuncia:
Por tanto, podemos concluir sobre los canales de denuncia, que además de ser lícita su creación, mantenimiento y gestión, y permitir las denuncias anónimas, deben ser conocidos por empleados y terceros relacionados con la entidad (stakeholders); deben garantizar la confidencialidad; no conservar datos personales más tiempo del imprescindible (tres meses); anonimizar denuncias no cursadas, y si es necesario conservar los datos porque se ha iniciado una investigación, hacerlo fuera del propio canal.