Con la publicación de la Directiva (UE) 2019/1937, de 23 de octubre de 2019, se establece un marco normativo armonizado en la Unión Europea para la correcta protección de aquellas personas que informen sobre infracciones a través de canales de denuncia internos o externos.
Los canales de denuncia de conformidad con el texto de la Directiva deberán garantizar la confidencialidad de la identidad del denunciante, así como cualquier otra información de la que se pueda deducir directa o indirectamente la identidad del denunciante. La garantía de confidencialidad se presenta sin duda como la mejor medida para evitar represalias contra aquellos que informan de una conducta ilícita.
En este contexto, se abre de nuevo el debate sobre la pertinencia o no de que los canales de denuncia de entidades privadas y organismos públicos permitan y consecuentemente tramiten comunicaciones remitidas anónimamente.
Por una parte el texto de la directiva deja al arbitrio de los Estados Miembros la posibilidad de requerir a las propietarios de los canales de denuncias que acepten y sigan denuncias anónimas. Por lo que, en principio habrá que esperar a la transposición de la Directiva para saber si en España será o no una obligación.
La directiva deja al arbitrio de los Estados Miembros la posibilidad de requerir a las propietarios de los canales de denuncias que acepten y sigan denuncias anónimas
Por otra parte, lo que sí establece la Directiva es que las personas que denuncien de forma anónima o hagan revelaciones públicas de forma anónima deberán gozar de la protección que otorga la Directiva si posteriormente son identificadas y sufren represalias. Todo ello unido a que permitir la presentación de denuncias anónimas evitará sin duda que existan filtraciones acerca de la identidad del denunciante, nos lleva a la conclusión de que facilitar esta opción se presenta como una medida adecuada y acorde con la nueva normativa.
Para garantizar dicho anonimato, no será suficiente contar con un mero buzón de correo electrónico perteneciente al dominio de la organización ya que con la mera recepción del correo electrónico ésta cantará con información que podría llevar a identificar al denunciante. Es por ello que será necesario contar con herramientas tecnológicas diseñas para tal fin con las siguientes características:
- La plataforma de gestión de las denuncias deberá estar en un entorno externo a la organización y a sus técnicos de sistemas.
- Deberán permitir la presentación de denuncias sin facilitar datos personales, facilitando un entorno seguro de comunicación con el informante.
- Las comunicaciones con el informante deberán permanecer cifradas de punto a punto.
- No se deberán conservar los metadatos relacionados con los archivos facilitados por el denunciante.
- No se deberán recabar las direcciones IP de las comunicaciones realizadas por el denunciante.
- La autenticación con doble factor puede ser un buen método para amentar la seguridad de la información.
Asimismo, además de las características técnicas de la propia plataforma, un elemento que ayudará a evitar filtraciones sobre la identidad del denunciante será la gestión de las denuncias por profesionales externos e independientes a la organización.
En la mayor parte de los casos históricos en los que se ha denunciado un acto de corrupción o de abuso de poder el denunciante ha sufrido represalias de todo tipo. El efecto habitual de una denuncia interna suele ser el reproche al denunciante al generar una situación indeseada. Precisamente este tipo de situaciones son las que pretende evitar la Directiva, que no existan abusos de poder injustificados y que se creen canales seguros para que los denunciantes puedan comunicar las irregularidades sin miedo a represalias.
Visita el artículo en Revista Byte en el siguiente enlace.