PREGUNTAS FRECUENTES SOBRE LOS CANALES DE DENUNCIA INTERNOS Y LA PROTECCIÓN DE DATOS
ÍNDICE
I. INTRODUCCIÓN
II. PREGUNTAS FRECUENTES
EN LO REFERENTE AL REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO
1. ¿Debe realizarse el registro de las actividades de tratamiento que suponen los sistemas internos de información conforme a lo exigido por el art. 30 RGPD? (art. 29)
EN LO REFERENTE A LA RESPONSABILIDAD DEL TRATAMIENTO
2. ¿Quién es el responsable del tratamiento de datos personales que suponen los sistemas internos de información que se deben implantar conforme a esta Ley? (art. 5.1)
3. ¿Qué responsabilidad adquiere en lo que al tratamiento de datos personales se refiere el tercero externo que puede gestionar los sistemas internos de información? (art. 6)
4. ¿Puede existir corresponsabilidad en el tratamiento de datos personales que suponen los sistemas internos de información?
EN LO REFERENTE A LA LICITUD DEL TRATAMIENTO
EN LO REFERENTE A LA INFORMACIÓN SOBRE EL TRATAMIENTO Y AL EJERCICIO DE DERECHOS
EN LO REFERENTE AL ACCESO Y A LA CONSERVACIÓN DE LOS DATOS PERSONALES EN EL SISTEMA
EN LO REFERENTE A LA DESIGNACIÓN DE UN DELEGADO DE PROTECCIÓN DE DATOS
EN LO REFERENTE A LA REALIZACIÓN DE UNA EVALUACIÓN DE IMPACTO
III. CANALES DE DENUNCIAS INTERNOS EN PRIVACY DRIVER
I. INTRODUCCIÓN
Este documento se refiere exclusivamente a lo que en cuanto al cumplimiento de la normativa de protección de datos (RGPD y LOPDGDD) suponen los tratamientos de datos personales llevados a cabo en los sistemas internos de información regulados por la Ley 2/2023 de protección del informante.
Con un formato pregunta/respuesta se intenta responder a las consultas planteadas con más frecuencia desde la entrada en vigor de dicha Ley con respecto al cumplimiento de la normativa de privacidad (RGPD y LOPDGDD) que suponen los tratamientos de datos personales llevados a cabo en los sistemas internos de información (canales internos de información o canales de denuncias internos).
Para ello, nos hemos basado esencialmente en lo establecido en su Título VI (artículos del 29 al 34) dedicado a la protección de datos personales, además de en parte del contenido regulado en los artículos 5, 6 y en la disposición final 7 que modifica el artículo 24 de la LOPDGDD que era el que regulaba los tratamientos de datos personales para la protección de las personas que informen sobre infracciones normativas, que queda con el siguiente redactado:
“Serán lícitos los tratamientos de datos personales necesarios para garantizar la protección de las personas que informen sobre infracciones normativas.
Dichos tratamientos se regirán por lo dispuesto en el GDPR, en esta ley orgánica y en la Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.”
II. PREGUNTAS FRECUENTES
EN LO REFERENTE AL REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO
Todos los tratamientos derivados de la aplicación de esta ley se rigen por lo dispuesto en la normativa de protección de datos (RGPD, LOPDGDD y LO 7/2021) y por tanto se deben incluir en el Registro de Actividades de Tratamiento (RAT) de la entidad.
EN LO REFERENTE A LA RESPONSABILIDAD DEL TRATAMIENTO
Aunque el apartado del artículo 5.1 de la Ley 2/2023 establece que el órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el responsable de la implantación del Sistema interno de información y tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales; y de la lectura de este apartado se podría interpretar que el responsable del tratamiento de los datos personales es el órgano de gobierno y no la propia organización, en un informe jurídico la AEPD, tras analizar el nuevo régimen jurídico regulado por la Ley 2/2023, la responsabilidad patrimonial de los administradores regulada en el Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital y el concepto de responsable del tratamiento conforme al artículo 4.7. del RGPD, concluye:
Que la correcta interpretación del artículo 5 de la Ley 2/2023, desde la perspectiva de la protección de datos personales, requiere identificar como responsable del tratamiento a la organización obligada por la ley a disponer de un Sistema interno de información, sin perjuicio de que las decisiones necesarias para su correcta implantación deban adoptarse por el correspondiente órgano de gobierno.
El tercero externo que gestione el Sistema tendrá la consideración de encargado del tratamiento. El encargo del tratamiento se regirá por el acto o contrato al que se refiere el artículo 28.3 RGPD. A estos efectos, se considera gestión del Sistema la recepción de informaciones.
El tercero debe ofrecer garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto de las comunicaciones. Y su gestión del Sistema no puede suponer un menoscabo de las garantías y requisitos que para dicho sistema establece la Ley 2/2023.
Sí, y la existencia de corresponsables del tratamiento de datos personales requiere la previa suscripción del acuerdo regulado en el artículo 26 del RGPD. (art. 6.2)
EN LO REFERENTE A LA LICITUD DEL TRATAMIENTO
Serán lícitos los tratamientos de datos personales necesarios para garantizar la protección de las personas que informen sobre infracciones normativas:
La obligación legal aplicable a la administración pública en cuestión (art. 6.1.c RGPD)
Es la puesta a disposición del público de información sobre acciones u omisiones en los términos previstos en la Ley 2/2023.
Que es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (art. 6.1.e RGPD)
El tratamiento de datos de categoría especial en estos sistemas de información se podría llevar a cabo por razones de un interés público esencial conforme a lo previsto en el artículo 9.2.g) RGPD
EN LO REFERENTE A LA INFORMACIÓN SOBRE EL TRATAMIENTO Y AL EJERCICIO DE DERECHOS
Sí, conforme a lo exigido en el art. 13 RGPD, y además de forma expresa, se le debe también informar de que su identidad será en todo caso reservada y que no se comunicará a las personas a las que se refieren los hechos relatados, ni a terceros.
Que el informante (quien presente una comunicación o lleve a cabo una revelación pública) tiene derecho a que su identidad no sea revelada a terceras personas.
Y que aunque en el artículo 33.2 en principio se establece que los sistemas internos de información, los canales externos y quienes reciban revelaciones públicas no deben obtener datos que permitan la identificación del informante, continua exponiendo que deberán contar con medidas técnicas y organizativas adecuadas para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas y a cualquier tercero que se mencione en la información suministrada, especialmente la identidad del informante en caso de que se hubiera identificado.
Además la identidad del informante solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora.
Las revelaciones hechas en virtud de este apartado estarán sujetas a salvaguardas establecidas en la normativa aplicable. En particular, se trasladará al informante antes de revelar su identidad, salvo que dicha información pudiera comprometer la investigación o el procedimiento judicial. Cuando la autoridad competente lo comunique al informante, le remitirá un escrito explicando los motivos de la revelación de los datos confidenciales en cuestión.
No, si la persona a la que se refiere la información comunicada ejerce su derecho de oposición, se presumirá que, salvo prueba en contrario, existen motivos legítimos imperiosos que legitiman el tratamiento de sus datos personales.
EN LO REFERENTE AL ACCESO Y A LA CONSERVACIÓN DE LOS DATOS PERSONALES EN EL SISTEMA
Exclusivamente podrán acceder a los datos personales del sistema:
Será lícito el tratamiento de los datos por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.
En ningún caso serán objeto de tratamiento los datos personales que no sean necesarios para estos fines o se refieran a conductas que no estén incluidas en el ámbito de aplicación de la ley, procediéndose, en su caso, a su inmediata supresión.
Si la información recibida contuviera datos personales de categoría especial, se procederá a su inmediata supresión, sin que se proceda al registro y tratamiento de los mismos. Aunque conforme a lo establecido en el artículo 31. 5 de la Ley 2/2023 el tratamiento de datos de categoría especial por razones de un interés público esencial se podrá realizar conforme a lo previsto en el artículo 9.2.g).
Los datos que sean objeto de tratamiento podrán conservarse en el sistema de información únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados.
Si se acreditara que la información facilitada o parte de ella no es veraz, deberá procederse a su inmediata supresión desde el momento en que se tenga constancia de dicha circunstancia, salvo que dicha falta de veracidad pueda constituir un ilícito penal, en cuyo caso se guardará la información por el tiempo necesario durante el que se tramite el procedimiento judicial.
En todo caso, transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPDGDD.
EN LO REFERENTE A LA DESIGNACIÓN DE UN DELEGADO DE PROTECCIÓN DE DATOS
No, el redactado del artículo 34 de la Ley establece que conforme al art. 37.1.a) RGPD, “solo” la Autoridad Independiente de Protección del Informante (AAI) y las autoridades independientes que en su caso se constituyan, deberán nombrar un delegado de protección de datos.
Evidentemente sí la entidad obligada a implantar el sistema interno de información se encuentra entre alguna de las contempladas en el art. 37.1 del RGPD ó 34.1 de la LOPDGDD, sí tendrá obligación de designar un DPO.
A título informativo destacamos que en el preámbulo de la Ley se exige que cuenten con un DPO todas las entidades obligadas a disponer de un Sistema interno de información, los terceros externos que en su caso lo gestionen y la Autoridad Independiente de Protección de Datos, A.A.I. así como las que en su caso se constituyan. Este error viene dado por la primera redacción del art. 34 del Proyecto de Ley, que así lo incluía, pero que fue enmendado en el art. 34 definitivo, aunque en el preámbulo, sorprendentemente, no se haya actualizado.
EN LO REFERENTE A LA REALIZACIÓN DE UNA EVALUACIÓN DE IMPACTO
La ley 2/2023 no obliga específicamente a ello, es decir, la obligación de implantar un sistema interno de información no implica por sí misma la obligación de llevar a cabo una EIPD, esta se deberá realizar cuando en los tratamientos que se lleven a cabo en el sistema interno de información:
III. CANALES DE DENUNCIAS INTERNOS EN PRIVACY DRIVER
En Privacy Driver se contemplan los tratamientos relativos a los sistemas internos de información o canales de denuncia internos y todas sus obligaciones desde la publicación de la Directiva 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.
La documentación relativa a los Canales de denuncias internos está disponible en Privacy Driver: