PROTECCIÓN DE DATOS EN LA LEY 2/2023 REGULADORA DE LA PROTECCIÓN DE LAS PERSONAS QUE INFORMEN SOBRE INFRACCIONES NORMATIVAS Y DE LUCHA CONTRA LA CORRUPCIÓN
Hoy 21 de febrero se ha publicado en el BOE la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Entrará en vigor a los veinte días de su publicación, es decir el 13 de marzo de 2023.
Su Título VI (artículos del 29 al 34) está dedicado a la protección de datos personales, y a grandes rasgos podríamos resumir de la siguiente forma:
Serán lícitos los tratamientos de datos personales necesarios para garantizar la protección de las personas que informen sobre infracciones normativas.
Dichos tratamientos se regirán por lo dispuesto en el GDPR, en esta ley orgánica y en la Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
RESUMEN DEL TÍTULO VI: PROTECCIÓN DE DATOS PERSONALES
Todos los tratamientos derivados de la aplicación de esta ley se rigen por lo dispuesto en la normativa de protección de datos (GDPR, LOPDGDD y LO 7/2021)
Artículo 30. Licitud de los tratamientos
Artículo 31. Información del tratamiento y derechos
Artículo 32. Tratamientos en el sistema interno de comunicación de irregularidades
Exclusivamente podrán acceder a los datos personales del sistema:
Será lícito el tratamiento de los datos por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.
En ningún caso serán objeto de tratamiento los datos personales que no sean necesarios para estos fines o se refieran a conductas que no estén incluidas en el ámbito de aplicación de la ley, procediéndose, en su caso, a su inmediata supresión.
Si la información recibida contuviera datos personales de categoría especial, se procederá a su inmediata supresión, sin que se proceda al registro y tratamiento de los mismos.
Los datos que sean objeto de tratamiento podrán conservarse en el sistema de información únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados.
Si se acreditara que la información facilitada o parte de ella no es veraz, deberá procederse a su inmediata supresión desde el momento en que se tenga constancia de dicha circunstancia, salvo que dicha falta de veracidad pueda constituir un ilícito penal, en cuyo caso se guardará la información por el tiempo necesario durante el que se tramite el procedimiento judicial.
En todo caso, transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPDGDD.
Las personas trabajadoras y terceros deberán ser informados acerca del tratamiento de datos personales en el marco de los Sistemas de información.
Artículo 33. Preservación de la identidad del informante y de las personas afectadas.
La persona informante tiene derecho a que su identidad no sea revelada a terceras personas.
Los sistemas internos de información, los canales externos y quienes reciban revelaciones públicas no obtendrán datos que permitan la identificación del informante y deberán contar con medidas técnicas y organizativas adecuadas para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas y a cualquier tercero que se mencione en la información suministrada, especialmente la identidad del informante en caso de que se hubiera identificado.
La identidad del informante solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora.
Las revelaciones hechas en virtud de este apartado estarán sujetas a salvaguardas establecidas en la normativa aplicable. En particular, se trasladará al informante antes de revelar su identidad, salvo que dicha información pudiera comprometer la investigación o el procedimiento judicial. Cuando la autoridad competente lo comunique al informante, le remitirá un escrito explicando los motivos de la revelación de los datos confidenciales en cuestión.
Artículo 34. Delegado de protección de datos.
Conforme al art. 37.1.a) GDPR, la Autoridad Independiente de Protección del Informante (AAI), y las autoridades independientes que en su caso se constituyan, deberán nombrar un delegado de protección de datos.