在得知该法律草案并经过参议院的多次修改后,经历了几个月的不确定性,有关投诉渠道的法律已于 21 年 2023 月 XNUMX 日在官方国家公报上发布,作为 2 月 2023 日第 20/XNUMX 号法律,规范对举报违规行为的人员的保护和反腐败。 因此,它最终被移植到西班牙法律体系中。 关于保护举报违反联邦法律行为的人员的第 2019/1937 号指令,通常也称为指令 举报人g.
该法在 BOE 发布 20 天后生效,规定了投诉系统的正确实施 - 或者按照该法的术语,内部信息系统 - 作为公司可以提供充分服务的基本工具。对举报人的保护。 这些系统本质上涉及处理个人数据,这些数据具有必须考虑的某些特殊性,这就是为什么该法将其整个第六章致力于保护个人数据。
通过本出版物,我们分析了该法在 BOE 发布后与举报系统数据保护相关的最重要的立法进展:
- 根据所追求的目的调整数据:不应收集与本法范围内调查投诉的目的无关的个人数据,如果意外收集,应立即删除。
- 数据处理的合法性:遵守本法所必需的数据处理被视为合法。合法化的适当基础是法律义务和公共利益。 为此,可以根据相应调查的需要并根据第 9.2 条的规定,在投诉系统中处理特殊类别数据。 RGPD XNUMX.g):因为出于基本公共利益的原因,这是必要的,并且前提是数据处理与所追求的目标成比例,本质上尊重数据保护的权利,并已采取适当和适当的措施。专门保护利害关系方的利益和基本权利。
- 信息义务:必须根据 RGPD 的规定向利益相关方(组织员工和第三方)提供有关其数据处理的信息,但必须对投诉人的数据保密,投诉人的身份必须是保留,在任何情况下都不得向被告透露。 举报人的身份,如果因举报人未匿名提出申诉而获得,则只能在刑事、纪律或刑事诉讼的框架内向司法机关、检察官办公室或主管行政机关通报。制裁调查。
- 行使权利:数据在投诉系统中进行处理的人享有 RGPD 中规定的所有权利,唯一的特殊性是,如果被举报人行使反对权,除非另有证明,否则将假定有令人信服的合法理由。使您的数据处理合法化,因此您的请求可能会被拒绝。
- 访问个人数据:只有以下人员才能访问投诉系统中的个人数据:
- 对系统本身负责的人和直接管理系统的人。
- 当可以对工人采取纪律措施时,人力资源负责人或主管机构。
- 适当采取法律措施时负责法律服务的人员。
- 那些需要它来提供服务的治疗负责人。
- 数据保护官。
此外,当实体采取纠正措施或处理适当的制裁或刑事程序有必要时,可以与其他人或第三方共享信息。
- 投诉系统数据保留期限:一般规则是,投诉系统中包含的个人数据仅在决定是否展开调查所需的时间内保留。 无论如何,如果三个月过去了仍未启动调查,则必须在投诉系统内删除数据,除非是匿名的或保存的目的是留下系统运行的证据。
- 数据保护官:尽管《草案》之前有规定,但确认了对于那些仅因遵守该义务而有义务实施内部信息系统的公司指定这一数字的义务最终被取消。事实上,根据《通用数据保护条例》和/或《数据保护和数字权利保障组织法》的规定,如果适用于他们,他们将必须命名。
- 共同承担治疗责任。 在投诉系统的管理存在共同责任的情况下(例如,由于一组公司共用一个共同管理的系统),法律明确提到了签署共同责任协议的义务。按照艺术中的规定。 26 GDPR。
- 安全措施:显然,每个报告渠道都必须应用强大的安全措施,以最大可能的方式保证数据的机密性、完整性和可用性。
爱德华多·奥利韦罗斯·卡瓦列罗, ELZABURU 的律师。
