Servicios de canal de denuncia de irregularidades a la luz de la multa de Meta: consideraciones a tener en cuenta al elegir un proveedor de servicios de denuncia de irregularidades

por Mathilda Kronér y Henrik Almström, Morris Law.

A la luz de la multa masiva GDPR emitida por la Autoridad Irlandesa de Protección de Datos (después de la decisión vinculante al respecto de la Junta Europea de Protección de Datos) el 22 de mayo, las empresas deben poner sus protocolos de cumplimiento GDPR bajo el microscopio para garantizar la gestión legal en relación con el manejo de datos personales. Especialmente cuando se trata de transferir datos personales a terceros países, como Estados Unidos. La necesidad de garantizar el cumplimiento del Reglamento y la seguridad de las transferencias de datos personales es, desde una perspectiva económica, más importante que nunca.

La multa de 1.200 millones de euros impuesta a Meta, propietaria de Facebook, es una cifra récord y establece un claro ejemplo de cara al futuro sobre las consecuencias del uso indebido de los datos personales cuando se transfieren datos de la UE a Estados Unidos.

La seguridad ante todo: garantizar la seguridad de las denuncias y la protección de los datos personales

Una situación de denuncia de irregularidades se considera delicada por naturaleza. El proceso a menudo implica datos personales sensibles que entran en el ámbito de las categorías estipuladas en el artículo 9 del GDPR o datos relativos a delitos penales estipulados en el artículo 10 del GDPR. Teniendo en cuenta lo anterior, es importante aplicar procedimientos que garanticen que el tratamiento de los datos es correcto y seguro. Por lo tanto, a la hora de elegir o prestar servicios de denuncia de irregularidades, se debe tener en cuenta ante todo la seguridad.

Servicios de canales de denuncia con sede en EE.UU.: son seguros en la UE?

Los servicios de canales de denuncias suelen implicar una transferencia de los datos personales incluidos en la denuncia a la empresa que actúa como proveedor de servicios. Por lo tanto, es importante elegir cuidadosamente a sus proveedores, así como a los subprocesadores, y asegurar su cumplimiento del GDPR, especialmente porque la transferencia puede implicar el procesamiento de datos personales sensibles. Las transferencias de datos personales dentro de la UE y el EEE es segura y están completamente armonizada a través del RGPD.

La sonada sentencia Schrems II, que declaró inválida la Decisión sobre el Escudo de Privacidad de la Comisión Europea (Privacy Shield) como medida de seguridad al transferir datos a EE.UU., ha dado lugar a requisitos legales estrictos en relación con dichas transferencias de datos a EE.UU. La salvaguardia restante para las transferencias a terceros países, las Cláusulas Contractuales Tipo (CCT), deben modificarse después de Schrems II con medidas de seguridad adicionales para garantizar la legalidad de las transferencias.

En particular, estos requisitos se aplican no sólo a los proveedores de servicios con sede en EE.UU. o a los servidores ubicados en ese país, sino también a los proveedores de servicios y servidores con sede en la UE, que pueden estar sujetos a los requisitos si operan bajo el control de empresas estadounidenses. Por ejemplo, estos proveedores de servicios pueden estar ubicados en la UE y utilizar servicios de alojamiento de proveedores estadounidenses como Amazon o Azure.

La cadena de la denuncia: tu responsabilidad

Dado que la denuncia de irregularidades está vinculada al tratamiento de información sensible, las empresas deben asegurarse de que es seguro que se les denuncie.

Tanto por motivos de cumplimiento interno como para proteger la privacidad del denunciante. Cuando se utiliza un servicio externo de denuncia de irregularidades, el proveedor del servicio actuará en la mayoría de los casos como encargado de tratamiento de datos y la empresa que adquiere el servicio asumirá el papel de responsable de datos. Dado que es probable que tu empresa actúe como responsable del tratamiento de datos cuando adquiere un servicio de denuncia de irregularidades, la empresa tiene la responsabilidad de garantizar que se aplican las medidas de seguridad adecuadas durante toda la cadena de tratamiento. Esto significa que la empresa tendrá la responsabilidad de garantizar que el tratamiento seguro no se vea comprometido, por ejemplo, por la falta de medidas de seguridad de un proveedor.

Cómo garantizar una denuncia segura y conforme a las normas?

Para empezar, asuma activamente la responsabilidad de responsable del tratamiento de datos. Tanto al contratar un nuevo proveedor como al revisar uno actual, solicitar información sobre el cumplimiento legal del servicio es siempre apropiado. Esto se refleja en el artículo 28.1 del RGPD, según el cual «el responsable del tratamiento recurrirá únicamente a encargados del tratamiento que ofrezcan garantías suficientes» para garantizar un tratamiento conforme al RGPD. En el mundo posterior a Schrems II, exagerado ahora por la multa de Meta, esto significa solicitar y recibir información tranquilizadora sobre la conformidad del servicio prestado. Un proveedor que no pueda dar respuestas tranquilizadoras al menos a las siguientes preguntas puede constituir un riesgo.

Para asegurarte de que tu servicio de canal de denuncias cumple el GDPR, lo mejor es utilizar un proveedor europeo. Alternativamente, cuando sea inevitable utilizar un servicio estadounidense, la empresa debe asegurarse de que cualquier proveedor estadounidense pueda demostrar que su tratamiento de datos personales cumple el RGPD.

1. Se almacenan los datos en la UE?
2. Se almacenan los datos únicamente en servidores que no están bajo el control de entidades no radicadas en la UE?
3. En caso negativo, qué medidas se aplican para garantizar el cumplimiento del RGPD/Schrems II y cómo se verifica que dichas medidas son válidas y suficientes?

Mientras que las dos primeras preguntas ofrecen respuestas sencillas, la última puede implicar una evaluación compleja sobre lo que es suficiente o no. En virtud del RGPD, el riesgo de tales evaluaciones recae en el responsable del tratamiento de datos, a menudo con posibilidades limitadas de trasladar contractualmente el riesgo al proveedor o encargado del tratamiento.

Teniendo en cuenta la multa de Meta, es pertinente una revisión general de la exposición al riesgo derivada del uso de proveedores, y los servicios de canales de denuncia deberían ocupar un lugar destacado en la lista de prioridades.

Quieres saber más sobre los canales de información internos? Lee más acerca de la Directiva Whsitleblowing de la UE aquí y en EUR-Lex.

Te gustaría obtener más información sobre un canal de información interno seguro? Puedes obtener más información sobre la solución todo en uno de Whistlelink aquí o solicitar una Demo gratuita!