Buscar
Cerrar este cuadro de búsqueda.
Whistleblower Employee
Picture of ELZABURU
ELZABURU

Ley de protección al denunciante: cuestiones relevantes en materia de datos.

 

Tras meses de incertidumbre al conocer el Anteproyecto de Ley y varias modificaciones en el Senado, la Ley del canal de denuncias ha sido publicada en el Boletín Oficial del Estado del 21 de febrero de 2023 como la Ley 2/2023 de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Así, se transpone finalmente al ordenamiento jurídico español la Directiva 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, también conocida comúnmente como Directiva Whistleblowing.

Esta Ley, que entra en vigor a los 20 días de su publicación en el BOE, prevé la correcta implementación de un sistema de denuncias -o, en los términos de la Ley, un Sistema interno de información- como un instrumento esencial para que las empresas puedan otorgar una protección adecuada a los informantes. Estos sistemas, por su propia naturaleza, suponen un tratamiento de datos personales que presenta determinadas particularidades a tener en cuenta, razón por la que la Ley dedica la totalidad de su Título VI a la protección de datos personales.

A través de esta publicación, analizamos las novedades legislativas más significativas en relación con protección de datos en los sistemas de denuncias tras la publicación en el BOE de esta Ley:

  • Datos ajustados a los fines perseguidos: No se deben recabar datos personales que no resulten pertinentes a los fines de investigación de la denuncia dentro del ámbito de esta ley y, si se recopilan por accidente, deben eliminarse sin dilación indebida.

  • Licitud en el tratamiento de los datos: Se presumen lícitos los tratamientos de datos que resulten necesarios para cumplir con esta Ley. Las bases de legitimación apropiadas lo serán la obligación legal y el interés público. A estos efectos, podrán tratarse datos de categoría especial en el sistema de denuncias, por ser necesario a los fines de la correspondiente investigación y de conformidad con el art. 9.2.g) del RGPD: porque resulte necesario por razones de un interés público esencial, y siempre que el tratamiento de los datos sea proporcional al objetivo perseguido, respete en lo esencial el derecho a la protección de datos y se hayan adoptado medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

  • Deber de información: Se debe facilitar a los interesados (tanto empleados propios de la organización como terceros) la información respecto al tratamiento de sus datos con arreglo a lo previsto en el RGPD, pero debe mantenerse la confidencialidad respecto a los datos del denunciante, cuya identidad debe ser reservada y en ningún caso podrá revelarse al denunciado. La identidad del informante, cuando se disponga de ella porque este no haya formulado su denuncia de forma anónima, solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora.

  • Ejercicio de derechos: Las personas cuyos datos se traten en el sistema de denuncias cuentan con todos los derechos previstos en el RGPD con la única particularidad de que si la persona denunciada ejerce el derecho de oposición, se presume, salvo prueba en contrario, que existen motivos legítimos imperiosos que legitiman el tratamiento de sus datos, por lo que su petición podrá ser rechazada.

  • Acceso a los datos personales: Sólo podrán acceder a los datos personales en el sistema de denuncias las siguientes personas:

  • El responsable del propio sistema y quien lo gestione directamente.
  • El responsable de recursos humanos u órgano competente cuando pudiera proceder medidas disciplinarias contra un trabajador.
  • El responsable de los servicios jurídicos cuando procediera la adopción de medidas legales.
  • Los encargados de tratamiento que lo precisen para la prestación de su servicio.
  • El Delegado de Protección de Datos.

Además, se podrá compartir la información con otras personas o terceros cuando ello resulte preciso para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penales que procedan.

  • Plazo de conservación de los datos en el sistema de denuncias: La regla general es que los datos personales contenidos en el sistema de denuncias se conserven en éste exclusivamente durante el tiempo necesario para decidir si procede abrir investigación. En todo caso, si transcurren tres meses sin que se haya iniciado una investigación, debe procederse a la supresión de los datos dentro del sistema de denuncias, salvo que se anonimizaran o que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema.

  • Delegado de Protección de Datos: A pesar de lo anteriormente dispuesto por el Anteproyecto de Ley, se confirma que finalmente ha quedado eliminada la obligación de designar esta figura a aquellas empresas que estuvieran obligadas a implementar un Sistema interno de información sólo por el hecho de quedar sujetas a esta obligación, sin perjuicio de que tendrán que nombrarlo si así les resulta aplicable conforme a lo dispuesto en el Reglamento General de Protección de Datos y/o en la Ley Orgánica de Protección de Datos y garantía de los derechos digitales.

  • Corresponsabilidad del tratamiento. En aquellos casos en los que exista una corresponsabilidad en la gestión de un sistema de denuncias (por ejemplo, porque un grupo de empresas compartan un único sistema que gestionen conjuntamente), la Ley menciona expresamente la obligación de suscribir un acuerdo de corresponsabilidad conforme a lo previsto en el art. 26 RGPD.

  • Medidas de seguridad: Evidentemente todo canal de denuncias debe contar con la aplicación de unas medidas de seguridad robustas que garanticen, del mayor modo posible, sobre todo la confidencialidad de los datos, y también su integridad y disponibilidad.

 

Eduardo Oliveros Caballero, abogado en ELZABURU.

Compartir post →

Quizá te pueda interesar...