- 4 abril, 2023
- Categorias: Actualidad Fiscal, Empresas, Legal, Protección de Datos
Tras la publicación el pasado mes de febrero de 2023 de la Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (Ley 2/2023) en el Boletín Oficial del Estado, y en vigor desde el pasado 13 de marzo de 2023, son muchas las cuestiones que se plantean ahora las organizaciones sobre su correcta aplicación y/o sus obligaciones al respecto, también en materia de protección de datos respecto al informante y el afectado.
El objeto de la norma es, precisamente, imponer a las entidades u organismos obligados por la Ley, las medidas necesarias y obligatorias para proteger a todas aquellas personas físicas que mantienen o mantuvieron algún tipo de vínculo profesional o laboral con una entidad, tanto del sector público como privado, y que deseen comunicar situaciones de infracción, corrupción o fraude de las que son conocedores, ampliando el ámbito de protección también a las personas que presten asistencia al informante interna o externamente, a su entorno y a las personas jurídicas de su propiedad, frente a posibles represalias por parte de la entidad u organismo afectado. Los requisitos de aplicación de la Ley van, y deben ir, de la mano de la normativa que regula la protección de los datos personales de todos aquellos que intervengan, cualesquiera que sea su papel, en estas comunicaciones. Basándonos en sus requisitos, se considera imprescindible que las compañías estén al corriente con sus obligaciones en materia de protección de datos, ya que, de no estarlo, es probable que resulten sancionadas por el incumplimiento de esta Ley y/o de otras normativas de obligada aplicación.
La Ley 2/2023 establece la obligación de contar con un Sistema interno o externo de información que reúna, entre otras muchas obligaciones, los aspectos que considera relevantes en cuanto a protección de datos para la implantación de este sistema, recogidos en su Título IV.
¿Qué es un sistema interno de información?
El Sistema interno de información o canal de denuncias, es el canal preferente puesto a disposición de los usuarios por las entidades y organismos obligados a ello por la Ley, mediante el que pueden comunicar las infracciones del Derecho de la Unión Europea y/o infracciones penales o administrativas, graves o muy graves, de las leyes nacionales de las que tengan conocimiento. Todo ello, contando con la protección necesaria como informantes para no sufrir las temidas represalias hacia su persona.
¿Qué diferencias existen entre un Sistema interno o uno externo?
El Sistema de información externo es el que se lleva a cabo a través de un tercero externo a la entidad u organismo, y garantiza, por lo tanto, la independencia, confidencialidad, protección de datos y secreto de las comunicaciones. Desde el punto de vista de la protección de datos, este externo tendrá la condición de encargado de tratamiento. No obstante, esto supone que el responsable tendrá la obligación de asegurarse de que el externo elegido proporciona las garantías y medidas técnicas y de seguridad suficientes sobre los tratamientos de datos de carácter personal que se realicen, mediante la firma de un contrato u acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros.
El Sistema de información interno se gestiona en la propia empresa y, en este caso, podría suponer alguna complicación en cuanto a poder garantizar su independencia, confidencialidad y secreto de las comunicaciones para asegurar la no represalia y/o tentativas contra las personas que presentan la comunicación.
Estas entidades u organismos obligados por Ley van a tener que crear un protocolo que regule todo el procedimiento de gestión de informaciones: desde la recepción de la comunicación interna, plazos de respuesta, vías de atención, análisis preliminar, investigación y fases, conclusión y los principios y derechos para la defensa y protección del informante y también del afectado. Por consiguiente, la Ley proporciona instrucciones muy concretas a la hora de establecer cuáles son las obligaciones que se deben cumplir para proteger la información personal implicada en estas comunicaciones.
A continuación, nombremos algunas de las obligaciones más importantes en esta materia:
La licitud del tratamiento. Se entenderá lícito en virtud de lo que disponen los artículos 6.1.c) y 6.1.e) del Reglamento General de Protección de datos dependiendo de la obligación legal o no de disponer de un sistema de información interno o externo.
Obligación de hacer cumplir con el principio de minimización de los datos y límite del tratamiento, estableciendo que únicamente tendrá acceso a la información el Responsable del Sistema designado por la entidad u organismo y aquellos que indefectiblemente deban también acceder a ella, así como el DPO de la entidad, si se dispone de esta figura.
Su plazo de supresión comprende únicamente el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados. Las comunicaciones que no se hayan cursado, solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD).
Salvaguardar la identidad del informante. Asimismo, además de lo exigido en el art. 13 RGPD, se le debe informar de forma expresa, de que su identidad será en todo caso reservada y que no se comunicará al afectado al que se refiere en su comunicación ni tampoco a terceros, así como de cuáles son sus derechos (comprendidos entre los artículos 15 a 22 del RGPD). No obstante, se debe tener en consideración que, a diferencia del informante, si la persona afectada por la comunicación ejerce su derecho de oposición, se presumirá que, salvo prueba de lo contrario, existen motivos legítimos imperiosos que legitiman el tratamiento de sus datos personales, y en el caso de ejercer su derecho de acceso, se evitará en todo momento facilitar los datos del informante.
La ejecución del Sistema interno de información requiere también su inclusión en el correspondiente Registro de actividades de tratamiento, así como la implantación de medidas técnicas, organizativas y de seguridad apropiadas al nivel de riesgo de la actividad.
Otra muestra de los cambios importantes que supone esta Ley es que incluso, en su disposición final 7, ha modificado el art. 24 de la LOPDGDD: “Serán lícitos los tratamientos de datos personales necesarios para garantizar la protección de las personas que informen sobre infracciones normativas. Dichos tratamientos se regirán por lo dispuesto en el RGPD, en esta ley orgánica y en la Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.”
Tras este análisis, reiteramos la necesidad de estar al día en el cumplimiento de sus obligaciones en materia de protección de datos, lo que facilitará posteriormente que la creación del protocolo para su Sistema de información sea eficiente en la entidad u organismos obligado por la Ley y minimicen el riesgo de ser sancionados por incumplimiento.
Melani Rubio
Asesora en Protección de Datos JDA/SFAI