FAQS Canales de denuncia internos


Manuel Castilleja Toscano     12/03/2024

PREGUNTAS FRECUENTES SOBRE LOS CANALES DE DENUNCIA INTERNOS Y LA PROTECCIÓN DE DATOS

ÍNDICE

I. INTRODUCCIÓN

II. PREGUNTAS FRECUENTES

EN LO REFERENTE AL REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO

1. ¿Debe realizarse el registro de las actividades de tratamiento que suponen los sistemas internos de información conforme a lo exigido por el art. 30 RGPD? (art. 29)

EN LO REFERENTE A LA RESPONSABILIDAD DEL TRATAMIENTO

2. ¿Quién es el responsable del tratamiento de datos personales que suponen los sistemas internos de información que se deben implantar conforme a esta Ley? (art. 5.1)
3.
¿Qué responsabilidad adquiere en lo que al tratamiento de datos personales se refiere el tercero externo que puede gestionar los sistemas internos de información? (art. 6)
4. ¿Puede existir corresponsabilidad en el tratamiento de datos personales que suponen los sistemas internos de información?

EN LO REFERENTE A LA LICITUD DEL TRATAMIENTO

  1. ¿Qué base jurídica legitima el tratamiento de datos personales que suponen los sistemas internos de información? (art. 30)
  2. ¿Qué base jurídica legitima el tratamiento de datos personales que suponen los canales externos? (art. 30.3)
  3. ¿Qué es una revelación pública? (art. 27)
  4. ¿Qué base jurídica legitima el tratamiento de datos personales que supone una revelación pública? (art. 30.4)
  5. ¿En qué excepción del artículo 9.2 RGPD se puede basar el tratamiento de datos personales de categoría especial que pudieran suponer los sistemas internos de información? (art. 30.5)

EN LO REFERENTE A LA INFORMACIÓN SOBRE EL TRATAMIENTO Y AL EJERCICIO DE DERECHOS

  1. ¿Es necesario informar sobre el tratamiento de sus datos personales a la persona que comunica una irregularidad a través de los sistemas internos de información (informante)? (art. 31)
  2. ¿Qué se establece en la Ley 2/2023 sobre la preservación de la identidad del informante o de las personas afectadas? (art. 33)
  3. ¿Puede oponerse al tratamiento de sus datos personales la persona a la que se refiera la información comunicada a través de los sistemas internos de información? (art. 31.4)

EN LO REFERENTE AL ACCESO Y A LA CONSERVACIÓN DE LOS DATOS PERSONALES EN EL SISTEMA

  1. ¿Quiénes pueden acceder a los datos personales contenidos en los sistemas internos de información? (art. 32.1)
  2. ¿Qué datos personales pueden ser objeto de tratamiento en los sistemas internos de información? (art. 32.2)
  3. ¿Hasta cuándo deben conservarse los datos personales en los sistemas internos de información? (art. 32.3.)

EN LO REFERENTE A LA DESIGNACIÓN DE UN DELEGADO DE PROTECCIÓN DE DATOS

  1. ¿Debe designar un DPO una organización por la sola circunstancia de estar obligada a implantar un sistema interno de información? (art. 34)

EN LO REFERENTE A LA REALIZACIÓN DE UNA EVALUACIÓN DE IMPACTO

  1. ¿Debe llevarse a cabo una evaluación de impacto de los tratamientos de datos personales que suponen los sistemas internos de información?

III. CANALES DE DENUNCIAS INTERNOS EN PRIVACY DRIVER

I. INTRODUCCIÓN

Este documento se refiere exclusivamente a lo que en cuanto al cumplimiento de la normativa de protección de datos (RGPD y LOPDGDD) suponen los tratamientos de datos personales llevados a cabo en los sistemas internos de información regulados por la Ley 2/2023 de protección del informante.

Con un formato pregunta/respuesta se intenta responder a las consultas planteadas con más frecuencia desde la entrada en vigor de dicha Ley con respecto al cumplimiento de la normativa de privacidad (RGPD y LOPDGDD) que suponen los tratamientos de datos personales llevados a cabo en los sistemas internos de información (canales internos de información o canales de denuncias internos).

Para ello, nos hemos basado esencialmente en lo establecido en su Título VI (artículos del 29 al 34) dedicado a la protección de datos personales, además de en parte del contenido regulado en los artículos 5, 6 y en la disposición final 7 que modifica el artículo 24 de la LOPDGDD que era el que regulaba los tratamientos de datos personales para la protección de las personas que informen sobre infracciones normativas, que queda con el siguiente redactado:

“Serán lícitos los tratamientos de datos personales necesarios para garantizar la protección de las personas que informen sobre infracciones normativas.

Dichos tratamientos se regirán por lo dispuesto en el GDPR, en esta ley orgánica y en la Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.”

II. PREGUNTAS FRECUENTES

EN LO REFERENTE AL REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO

  1. ¿Debe realizarse el registro de las actividades de tratamiento que suponen los sistemas internos de información conforme a lo exigido por el art. 30 RGPD? (art. 29)

Todos los tratamientos derivados de la aplicación de esta ley se rigen por lo dispuesto en la normativa de protección de datos (RGPD, LOPDGDD y LO 7/2021) y por tanto se deben incluir en el Registro de Actividades de Tratamiento (RAT) de la entidad.

EN LO REFERENTE A LA RESPONSABILIDAD DEL TRATAMIENTO

  1. ¿Quién es el responsable del tratamiento de datos personales que suponen los sistemas internos de información que se deben implantar conforme a esta Ley? (art. 5.1)

Aunque el apartado del artículo 5.1 de la Ley 2/2023 establece que el órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el responsable de la implantación del Sistema interno de información y tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales; y de la lectura de este apartado se podría interpretar que el responsable del tratamiento de los datos personales es el órgano de gobierno y no la propia organización, en un informe jurídico la AEPD, tras analizar el nuevo régimen jurídico regulado por la Ley 2/2023, la responsabilidad patrimonial de los administradores regulada en el Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital y el concepto de responsable del tratamiento conforme al artículo 4.7. del RGPD, concluye:

Que la correcta interpretación del artículo 5 de la Ley 2/2023, desde la perspectiva de la protección de datos personales, requiere identificar como responsable del tratamiento a la organización obligada por la ley a disponer de un Sistema interno de información, sin perjuicio de que las decisiones necesarias para su correcta implantación deban adoptarse por el correspondiente órgano de gobierno.

  1. ¿Qué responsabilidad adquiere en lo que al tratamiento de datos personales se refiere el tercero externo que puede gestionar los sistemas internos de información? (art. 6)

El tercero externo que gestione el Sistema tendrá la consideración de encargado del tratamiento. El encargo del tratamiento se regirá por el acto o contrato al que se refiere el artículo 28.3 RGPD. A estos efectos, se considera gestión del Sistema la recepción de informaciones.

El tercero debe ofrecer garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto de las comunicaciones. Y su gestión del Sistema no puede suponer un menoscabo de las garantías y requisitos que para dicho sistema establece la Ley 2/2023.

  1. ¿Puede existir corresponsabilidad en el tratamiento de datos personales que suponen los sistemas internos de información?

Sí, y la existencia de corresponsables del tratamiento de datos personales requiere la previa suscripción del acuerdo regulado en el artículo 26 del RGPD. (art. 6.2)

EN LO REFERENTE A LA LICITUD DEL TRATAMIENTO

  1. ¿Qué base jurídica legitima el tratamiento de datos personales que suponen los sistemas internos de información? (art. 30)

Serán lícitos los tratamientos de datos personales necesarios para garantizar la protección de las personas que informen sobre infracciones normativas:

  • Cuando sea obligatorio disponer de estos sistemas internos de información, de acuerdo a lo establecido en los artículos 10 y 13 de la Ley 2/2023, sea obligatorio disponer de un sistema interno de información estará legitimado por el art. 6.1.c) RGPD, es decir el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, tanto para los canales internos de entidades privadas y administraciones públicas, como para los canales externos de la Autoridad Independiente de Protección del Informante (AAI), autoridades u órganos autonómicos.
  • Cuando no sea obligatorio disponer de dicho sistema o cuando el tratamiento se derive de una revelación pública, estará legitimado por el artículo 6.1.e) RGPD, es decir es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
  1. ¿Qué base jurídica legitima el tratamiento de datos personales que suponen los canales externos? (art. 30.3)

La obligación legal aplicable a la administración pública en cuestión (art. 6.1.c RGPD)

  1. ¿Qué es una revelación pública? (art. 27)

Es la puesta a disposición del público de información sobre acciones u omisiones en los términos previstos en la Ley 2/2023.

  1. ¿Qué base jurídica legitima el tratamiento de datos personales que supone una revelación pública? (art. 30.4)

Que es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (art. 6.1.e RGPD)

  1. ¿En qué excepción del artículo 9.2 RGPD se puede basar el tratamiento de datos personales de categoría especial que pudieran suponer los sistemas internos de información? (art. 30.5)

El tratamiento de datos de categoría especial en estos sistemas de información se podría llevar a cabo por razones de un interés público esencial conforme a lo previsto en el artículo 9.2.g) RGPD

EN LO REFERENTE A LA INFORMACIÓN SOBRE EL TRATAMIENTO Y AL EJERCICIO DE DERECHOS

  1. ¿Es necesario informar sobre el tratamiento de sus datos personales a la persona que comunica una irregularidad a través de los sistemas internos de información (informante)? (art. 31)

Sí, conforme a lo exigido en el art. 13 RGPD, y además de forma expresa, se le debe también informar de que su identidad será en todo caso reservada y que no se comunicará a las personas a las que se refieren los hechos relatados, ni a terceros.

  1. ¿Qué se establece en la Ley 2/2023 sobre la preservación de la identidad del informante o de las personas afectadas? (art. 33)

Que el informante (quien presente una comunicación o lleve a cabo una revelación pública) tiene derecho a que su identidad no sea revelada a terceras personas.

Y que aunque en el artículo 33.2 en principio se establece que los sistemas internos de información, los canales externos y quienes reciban revelaciones públicas no deben obtener datos que permitan la identificación del informante, continua exponiendo que deberán contar con medidas técnicas y organizativas adecuadas para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas y a cualquier tercero que se mencione en la información suministrada, especialmente la identidad del informante en caso de que se hubiera identificado.

Además la identidad del informante solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora.

Las revelaciones hechas en virtud de este apartado estarán sujetas a salvaguardas establecidas en la normativa aplicable. En particular, se trasladará al informante antes de revelar su identidad, salvo que dicha información pudiera comprometer la investigación o el procedimiento judicial. Cuando la autoridad competente lo comunique al informante, le remitirá un escrito explicando los motivos de la revelación de los datos confidenciales en cuestión.

  1. ¿Puede oponerse al tratamiento de sus datos personales la persona a la que se refiera la información comunicada a través de los sistemas internos de información? (art. 31.4)

No, si la persona a la que se refiere la información comunicada ejerce su derecho de oposición, se presumirá que, salvo prueba en contrario, existen motivos legítimos imperiosos que legitiman el tratamiento de sus datos personales.

EN LO REFERENTE AL ACCESO Y A LA CONSERVACIÓN DE LOS DATOS PERSONALES EN EL SISTEMA

  1. ¿Quiénes pueden acceder a los datos personales contenidos en los sistemas internos de información? (art. 32.1)

Exclusivamente podrán acceder a los datos personales del sistema:

  • El responsable del sistema y a quien lo gestione directamente.
  • El responsable de RRHH o el órgano competente debidamente designado, sólo cuando pudiera proceder la adopción de medidas disciplinarias contra una persona trabajadora o funcionaria.
  • El responsable de los servicios jurídicos de la entidad u organismo, si procediera la adopción de medidas legales en relación con los hechos informados.
  • Los encargados del tratamiento que eventualmente se designen.
  • El delegado de protección de datos.

Será lícito el tratamiento de los datos por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.

  1. ¿Qué datos personales pueden ser objeto de tratamiento en los sistemas internos de información? (art. 32.2)

En ningún caso serán objeto de tratamiento los datos personales que no sean necesarios para estos fines o se refieran a conductas que no estén incluidas en el ámbito de aplicación de la ley, procediéndose, en su caso, a su inmediata supresión.

Si la información recibida contuviera datos personales de categoría especial, se procederá a su inmediata supresión, sin que se proceda al registro y tratamiento de los mismos. Aunque conforme a lo establecido en el artículo 31. 5 de la Ley 2/2023 el tratamiento de datos de categoría especial por razones de un interés público esencial se podrá realizar conforme a lo previsto en el artículo 9.2.g).

  1. ¿Hasta cuándo deben conservarse los datos personales en los sistemas internos de información? (art. 32.3.)

Los datos que sean objeto de tratamiento podrán conservarse en el sistema de información únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados.

Si se acreditara que la información facilitada o parte de ella no es veraz, deberá procederse a su inmediata supresión desde el momento en que se tenga constancia de dicha circunstancia, salvo que dicha falta de veracidad pueda constituir un ilícito penal, en cuyo caso se guardará la información por el tiempo necesario durante el que se tramite el procedimiento judicial.

En todo caso, transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPDGDD.

EN LO REFERENTE A LA DESIGNACIÓN DE UN DELEGADO DE PROTECCIÓN DE DATOS

  1. ¿Debe designar un DPO una organización por la sola circunstancia de estar obligada a implantar un sistema interno de información? (art. 34)

No, el redactado del artículo 34 de la Ley establece que conforme al art. 37.1.a) RGPD, “solo” la Autoridad Independiente de Protección del Informante (AAI) y las autoridades independientes que en su caso se constituyan, deberán nombrar un delegado de protección de datos.

Evidentemente sí la entidad obligada a implantar el sistema interno de información se encuentra entre alguna de las contempladas en el art. 37.1 del RGPD ó 34.1 de la LOPDGDD, sí tendrá obligación de designar un DPO.

A título informativo destacamos que en el preámbulo de la Ley se exige que cuenten con un DPO todas las entidades obligadas a disponer de un Sistema interno de información, los terceros externos que en su caso lo gestionen y la Autoridad Independiente de Protección de Datos, A.A.I. así como las que en su caso se constituyan. Este error viene dado por la primera redacción del art. 34 del Proyecto de Ley, que así lo incluía, pero que fue enmendado en el art. 34 definitivo, aunque en el preámbulo, sorprendentemente, no se haya actualizado.

EN LO REFERENTE A LA REALIZACIÓN DE UNA EVALUACIÓN DE IMPACTO

  1. ¿Debe llevarse a cabo una evaluación de impacto de los tratamientos de datos personales que suponen los sistemas internos de información?

La ley 2/2023 no obliga específicamente a ello, es decir, la obligación de implantar un sistema interno de información no implica por sí misma la obligación de llevar a cabo una EIPD, esta se deberá realizar cuando en los tratamientos que se lleven a cabo en el sistema interno de información:

  • Se den las circunstancias contemplados en los arts. 35.1 ó 3 del RGPD, o
  • Confluyan dos o más criterios de los indicados por la AEPD en la lista (publicada conforme a lo establecido por el art. 35.4 RGPD) de tratamientos obligados a realizar una EIPD, o
  • Se den alguna de las circunstancias contempladas el art. 28.2 de la LOPDGDD

III. CANALES DE DENUNCIAS INTERNOS EN PRIVACY DRIVER

En Privacy Driver se contemplan los tratamientos relativos a los sistemas internos de información o canales de denuncia internos y todas sus obligaciones desde la publicación de la Directiva 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.

La documentación relativa a los Canales de denuncias internos está disponible en Privacy Driver:

  • Circulares informativas, para cumplir con el deber de información del art. 13 RGPD, en el menú DOCUMENTACIÓN/CLÁUSULAS/PERSONAL/TRATAMIENTO y DOBLE CAPA:
    • “Circular informativa del tratamiento (PERSONAL) CONTRATO LABORAL VARIOS FINES” (entre estos fines se incluye el de denuncias internas).
    • “Circular informativa del tratamiento CANAL ÉTICO o de DENUNCIAS INTERNAS”.
    • “Circular informativa del tratamiento LOPDGDD (CANAL ÉTICO o de DENUNCIAS INTERNAS)”.
  • Plantilla de tratamiento, para cumplir con el deber de incluir en el RAT (art. 30 RGPD) las actividades de tratamiento que suponen estos canales, en el menú TRATAMIENTO/FICHEROS/RT/EMPRESA:
    • 55. “Denuncias internas”.