Una entidad o un grupo de entidades, a la hora de implementar un sistema

de denuncias internas, en el caso de que tengan su sede en Espaa, deber

tenerse en consideracin la Ley Orgnica de Proteccin de Datos (Ley
Orgnica 15/1999) y su Reglamento de desarrollo (Real Decreto 1720/2007),
as como las indicaciones de la Agencia Espaola de Proteccin de Datos
(AEPD), en su Informe Jurdico 0128/2007 considerando como marco de
referencia, desde una perspectiva comunitaria, el Dictamen 1/2006
(adjunto) relativo a la aplicacin de las normas sobre proteccin de datos de
la UE a los sistemas internos de denuncia de irregularidades en los mbitos
de la contabilidad, controles de auditora internos, cuestiones de
auditora, lucha contra la corrupcin y delitos financieros y bancarios del
Grupo del Artculo 29 (WP29).
Consecuencia de los antedichos textos, se deber procedimentar el sistema
de denuncias internas tomando en consideracin cuestiones como:
- La entidad deber notificar a la AEPD el sistema Whistleblowing, como un
nuevo tratamiento de datos.
- El tratamiento de datos del personal de la entidad, a quien afectara
el sistema Whistleblowing, est legitimado por la existencia de la relacin
laboral, mercantil o negocial (incluyendo al personal externo afectado p.e.
de subcontratas) con la entidad.
- Se deber recoger el mbito limitado del procedimiento de denuncias, ya
que stas se debern referir nicamente a hechos o actuaciones con una
implicacin efectiva en la relacin entre entidad y denunciado.
Si la entidad externaliza el sistema (por un tercero o uno de los miembros
de su grupo de empresas), bien en la fase de definicin, bien para la gestin
y/o control del sistema, se deber firmar el contrato de encargo del
tratamiento, exigir al prestador el cumplimiento de las medidas de
seguridad, debiendo la entidad asegurarse diligentemente el cumplimiento
de las mismas; y regular las posibles transferencias internacionales, en caso
de que datos personales de nacionales espaoles sean transferidos y
tratados en pases o territorios fuera de la UE.

Por desgracia he tenido que gastar una buena cantidad de las ltimas
semanas en algunos contratos de financiacin, pero ahora de nuevo
tambin a la cuestin de nuestro esquema denunciante.

Como se ha mencionado el plan ha sido aprobado por la Agencia Danesa de

Proteccin de Datos sobre la base de las leyes danesas de aplicacin de la
directiva de la UE. El funcionamiento real del sistema ha sido subcontratado
a proveedores externos Navex Global por lo que todos los datos
comunicados en virtud del rgimen estar en sus servidores basados en el
Reino Unido. En la medida en que, posteriormente, cualquier accin es
tomada por DFDS sobre la base de documentos presentados a travs del

esquema de Denunciantes de dichos datos sern residen en los servidores

de DFDS ubicadas en Dinamarca.

Tal vez la mejor manera de avanzar es acordar la hora de una llamada para
discutir cualquier necesidad en Espaa?