Despr\u00e9s de la publicaci\u00f3 el passat mes de febrer de 2023 de la Llei reguladora de la protecci\u00f3 de les persones que informin sobre infraccions normatives i de lluita contra la corrupci\u00f3 (Llei 2\/2023) al Butllet\u00ed Oficial de l’Estat, i en vigor des del passat 13 de mar\u00e7 del 2023, s\u00f3n moltes les q\u00fcestions que es plantegen ara les organitzacions sobre la seva correcta aplicaci\u00f3 i\/o les seves obligacions sobre aix\u00f2, tamb\u00e9 en mat\u00e8ria de protecci\u00f3 de dades respecte a l’informant i l’afectat.<\/p>\n
L’objecte de la norma \u00e9s, precisament, imposar a les entitats o organismes obligats per la Llei, les mesures necess\u00e0ries i obligat\u00f2ries per protegir totes aquelles persones f\u00edsiques que mantenen o van mantenir algun tipus de vincle professional o laboral amb una entitat, tant del sector p\u00fablic com a privat, i que vulguin comunicar situacions d’infracci\u00f3, corrupci\u00f3 o frau de les que s\u00f3n coneixedors, ampliant l’\u00e0mbit de protecci\u00f3 tamb\u00e9 a les persones que prestin assist\u00e8ncia a l’informant interna o externament, al seu entorn i a les persones jur\u00eddiques de la seva propietat, davant de possibles repres\u00e0lies per part de l’entitat o organisme afectat. Els requisits d’aplicaci\u00f3 de la Llei van, i han d’anar, de la m\u00e0 de la normativa que regula la protecci\u00f3 de les dades personals de tots aquells que intervinguin, sigui quin sigui el paper, en aquestes comunicacions. Basant-nos en els seus requisits, es considera imprescindible que les companyies estiguin al corrent amb les seves obligacions en mat\u00e8ria de protecci\u00f3 de dades, ja que, si no ho estan, \u00e9s probable que resultin sancionades per l’incompliment d’aquesta Llei i\/o d’altres normatives d’obligada aplicaci\u00f3.<\/p>\n
La Llei 2\/2023 estableix l’obligaci\u00f3 de comptar amb un sistema intern o extern d’informaci\u00f3 que reuneixi, entre moltes altres obligacions, els aspectes que considera rellevants quant a protecci\u00f3 de dades per a la implantaci\u00f3 d’aquest sistema, recollits en el t\u00edtol IV.<\/p>\n
Qu\u00e8 \u00e9s un sistema intern d\u2019informaci\u00f3?<\/strong><\/p>\n El sistema intern d’informaci\u00f3 o canal de den\u00fancies \u00e9s el canal preferent posat a disposici\u00f3 dels usuaris per les entitats i organismes obligats a aix\u00f2 per la Llei, mitjan\u00e7ant el qual poden comunicar les infraccions del dret de la Uni\u00f3 Europea i\/o infraccions penals o administratives, greus o molt greus, de les lleis nacionals de qu\u00e8 en tinguin coneixement. Tot aix\u00f2, comptant amb la protecci\u00f3 necess\u00e0ria com a informants per no patir les temudes repres\u00e0lies cap a la seva persona.<\/p>\n Quines difer\u00e8ncies hi ha entre un sistema intern o un extern?<\/strong><\/p>\n El sistema d’informaci\u00f3 extern \u00e9s el que es duu a terme a trav\u00e9s d’un tercer extern a l’entitat o organisme, i garanteix, per tant, la independ\u00e8ncia, la confidencialitat, la protecci\u00f3 de dades i el secret de les comunicacions. Des del punt de vista de la protecci\u00f3 de dades, aquest extern tindr\u00e0 la condici\u00f3 d\u2019encarregat de tractament. Aix\u00f2 no obstant, aix\u00f2 suposa que el responsable tindr\u00e0 l’obligaci\u00f3 d’assegurar-se que l’extern elegit proporciona les garanties i mesures t\u00e8cniques i de seguretat suficients sobre els tractaments de dades de car\u00e0cter personal que es realitzin, mitjan\u00e7ant la signatura d’un contracte o acte jur\u00eddic amb acord al Dret de la Uni\u00f3 o dels Estats membres.<\/p>\n El Sistema d’informaci\u00f3 intern es gestiona a la pr\u00f2pia empresa i, en aquest cas, podria suposar alguna complicaci\u00f3 quant a poder garantir la seva independ\u00e8ncia, confidencialitat i secret de les comunicacions per assegurar la no repres\u00e0lia i\/o temptatives contra les persones que presenten la comunicaci\u00f3.<\/p>\n Aquestes entitats o organismes obligats per llei hauran de crear un protocol que reguli tot el procediment de gesti\u00f3 d\u2019informacions: des de la recepci\u00f3 de la comunicaci\u00f3 interna, terminis de resposta, vies d\u2019atenci\u00f3, an\u00e0lisi preliminar, investigaci\u00f3 i fases, conclusi\u00f3 i els principis i drets per a la defensa i la protecci\u00f3 de l’informant i tamb\u00e9 de l’afectat. Per tant, la Llei proporciona instruccions molt concretes a l’hora d’establir quines s\u00f3n les obligacions que cal complir per protegir la informaci\u00f3 personal implicada en aquestes comunicacions.<\/p>\n A continuaci\u00f3, anomenem algunes de les obligacions m\u00e9s importants en aquesta mat\u00e8ria:<\/strong><\/p>\n \u2013 La licitud del tractament. S’entendr\u00e0 l\u00edcit en virtut del que disposen els articles 6.1.c) i 6.1.e) del Reglament general de protecci\u00f3 de dades depenent de l’obligaci\u00f3 legal o no de disposar d’un sistema d’informaci\u00f3 intern o extern.<\/p>\n – Obligaci\u00f3 de fer complir amb el principi de minimitzaci\u00f3 de les dades i l\u00edmit del tractament, establint que \u00fanicament tindr\u00e0 acc\u00e9s a la informaci\u00f3 el Responsable del Sistema designat per l’entitat o organisme i aquells que indefectiblement hi hagin d’accedir tamb\u00e9, aix\u00ed com el DPO de l\u2019entitat, si es disposa d\u2019aquesta figura.<\/p>\n – El termini de supressi\u00f3 compr\u00e8n \u00fanicament el temps imprescindible per decidir sobre la proced\u00e8ncia d’iniciar una investigaci\u00f3 sobre els fets informats. Les comunicacions que no s’hagin cursat nom\u00e9s podran constar de forma anonimitzada, sense que sigui aplicable l’obligaci\u00f3 de bloqueig prevista a l’article 32 de la Llei org\u00e0nica 3\/2018, de 5 de desembre (LOPDGDD).<\/p>\n – Salvaguardar la identitat de l’informant. Aix\u00ed mateix, a m\u00e9s del que exigeix \u200b\u200bl’art. 13 RGPD, se l’ha d’informar de forma expressa, que la seva identitat ser\u00e0 en tot cas reservada i que no es comunicar\u00e0 a l’afectat a qu\u00e8 es refereix en la seva comunicaci\u00f3 ni tampoc a tercers, aix\u00ed com de quins s\u00f3n els seus drets (compresos entre els articles 15 a 22 del RGPD). Aix\u00f2 no obstant, s’ha de tenir en consideraci\u00f3 que, a difer\u00e8ncia de l’informant, si la persona afectada per la comunicaci\u00f3 exerceix el seu dret d’oposici\u00f3, es presumir\u00e0 que, excepte prova del contrari, hi ha motius leg\u00edtims imperiosos que legitimen el tractament de les dades personals, i en cas d’exercir el vostre dret d’acc\u00e9s, s’evitar\u00e0 en tot moment facilitar les dades de l’informant.<\/p>\n L’execuci\u00f3 del Sistema intern d’informaci\u00f3 requereix tamb\u00e9 la seva inclusi\u00f3 al Registre d’activitats de tractament corresponent, aix\u00ed com la implantaci\u00f3 de mesures t\u00e8cniques, organitzatives i de seguretat apropiades al nivell de risc de l’activitat.<\/p>\n Una altra mostra dels canvis importants que suposa aquesta Llei \u00e9s que fins i tot, en la disposici\u00f3 final 7, ha modificat l’art. 24 de la LOPDGDD: \u201cSeran l\u00edcits els tractaments de dades personals necess\u00e0ries per garantir la protecci\u00f3 de les persones que informin sobre infraccions normatives. Aquests tractaments es regeixen pel que disposa l’RGPD, aquesta llei org\u00e0nica i la Llei reguladora de la protecci\u00f3 de les persones que informin sobre infraccions normatives i de lluita contra la corrupci\u00f3.\u201d<\/em><\/p>\n Despr\u00e9s d’aquesta an\u00e0lisi, reiterem la necessitat d’estar al dia en el compliment de les seves obligacions en mat\u00e8ria de protecci\u00f3 de dades, cosa que facilitar\u00e0 posteriorment que la creaci\u00f3 del protocol per al sistema d’informaci\u00f3 sigui eficient a l’entitat o organismes obligats per la Llei i minimitzin el risc de ser sancionats per incompliment.<\/p>\n <\/p>\n Melani Rubio<\/p>\n Assessora Protecci\u00f3 de Dades JDA\/SFAI<\/p>\n","protected":false},"excerpt":{"rendered":" Despr\u00e9s de la publicaci\u00f3 el passat mes de febrer de 2023 de la Llei reguladora de la protecci\u00f3 de les persones que informin sobre infraccions normatives i de lluita contra la corrupci\u00f3 (Llei 2\/2023) al Butllet\u00ed Oficial de l’Estat, i en vigor des del passat 13 de mar\u00e7 del 2023, s\u00f3n moltes les q\u00fcestions que<\/p>\n","protected":false},"author":50,"featured_media":23854,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"rs_blank_template":"","rs_page_bg_color":"","slide_template_v7":"","footnotes":""},"categories":[785,826,766,793],"tags":[],"class_list":["post-23856","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-empreses","category-fiscal-ca-2","category-legal-ca","category-proteccio-de-dades"],"_links":{"self":[{"href":"https:\/\/www.jda.es\/ca\/wp-json\/wp\/v2\/posts\/23856","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.jda.es\/ca\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.jda.es\/ca\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.jda.es\/ca\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.jda.es\/ca\/wp-json\/wp\/v2\/comments?post=23856"}],"version-history":[{"count":0,"href":"https:\/\/www.jda.es\/ca\/wp-json\/wp\/v2\/posts\/23856\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.jda.es\/ca\/wp-json\/wp\/v2\/media\/23854"}],"wp:attachment":[{"href":"https:\/\/www.jda.es\/ca\/wp-json\/wp\/v2\/media?parent=23856"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.jda.es\/ca\/wp-json\/wp\/v2\/categories?post=23856"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.jda.es\/ca\/wp-json\/wp\/v2\/tags?post=23856"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}