El Anteproyecto de Ley reguladora de la Protección de las Personas que informen sobre Infracciones normativas y de lucha contra la corrupción muestra un claro espíritu de protección a los informantes mediante la aplicación del Reglamento (UE) 2016/679 de Protección de Datos, la LO de Protección de Datos Personales y Derechos Digitales y, en el ámbito de infracciones y sanciones penales, de la LO 7/2021.
Así, a lo largo de su Título VI, va desgranando los aspectos fundamentales desde el punto de vista de protección de datos, aclarando y matizando diversas cuestiones que pueden ir surgiendo con motivo de la utilización de los canales de comunicación.
A la hora de determinar la base de legitimación del tratamiento de los datos deberemos distinguir si estamos ante Sistemas de Comunicación Interno (SCI), ante un Sistemas de Comunicación Externo (SCE), o tratamientos derivados de una revelación publica o el interés público o el ejercicio de poderes públicos conferidos al responsable del tratamiento.
La base de legitimación en cada uno de estos supuestos sería la siguiente:
El tratamiento también se entenderá lícito cuando sea necesario realizar comunicaciones a terceros para la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.
Esto conlleva que la identidad del informante únicamente puede ser comunicada a la Autoridad Judicial, Ministerio fiscal y a la Autoridad Administrativa Competente en el marco de una investigación penal, disciplinaria o sancionadora.
El principio de información, con motivo de la necesaria protección a los informantes, se refuerza con respecto a la información general del art. 13 del RGPD y 11 de la LO 3/2018 de la siguiente manera:
- A los informantes y a quienes hayan lleven a cabo una revelación publica, se les informara además de forma expresa, de que sus identidades serán en todo reservada y que no se comunicara a las personas a las que se refieren los hechos relatados ni a terceros.
- A quienes realicen la comunicación a través de canales internos, se les informara de forma clara y accesible, de la posibilidad de acudir a canales externos de información ante las autoridades competentes y, en su caso instituciones, órganos u organismos de la Unión Europea.
Es importante recordar que este deber de información incluye la información a los empleados y terceros de la puesta a su disposición de Canales internos de Información para comunicar, de forma sencilla y ágil, cualquier posible irregularidad detectada.
Los Canales de Comunicación no podrán tratar indefinidamente los datos, sino que únicamente podrán conservarse durante el tiempo imprescindible a efectos de tomar la decisión acerca de la procedencia de iniciar o no una investigación, el cual no podrá exceder del plazo de 3 meses, ya que, pasado este periodo sin el inicio de las actividades de investigación, deberemos proceder a su supresión, anonimizándose las comunicaciones no cursadas sin que quepa su bloqueo.
Debemos destacar, en materia de ejercicio de los Derechos de los interesados, que frente a la regulación general del RGPD y LO 3/2018, se establece que en caso de ejercicio del Derecho de Oposición por la persona a la que se refieran los hechos comunicados, se presumirá, salvo prueba en contrario, que existen motivos legítimos e imperiosos para el tratamiento de sus datos en el Canal de Comunicación.
Un aspecto esencial del espíritu de este Anteproyecto, tal y como se indica en su exposición de motivos, es la protección y defensa de los derechos tanto del informante como de las personas investigadas, y el Derecho a que su identidad no sea revelada a terceras personas.
Como consecuencia, varios artículos del Anteproyecto se centran en delimitar los supuestos de acceso a los datos tratados.
Así el artículo 32, en relación a los Sistemas Internos de Información, limita los accesos del siguiente modo:
- Al responsable del tratamiento y, en su caso, al encargado del tratamiento
- Al responsable de recursos humanos en el ámbito de medidas disciplinarias
- Al responsable de la asesoría jurídica únicamente si se deben adoptar medidas legales
- Al Delegado de Protección de datos.
Igualmente, el artículo 31, en su apartado 2º, indica que la persona a la que se refieran los hechos relatados, no será en ningún caso informada de la identidad del informante o de quien haya llevado a cabo la revelación pública.
Se aprecia con todo ello conforme a los principios inspiradores del RGPD, la importancia de que estos Sistemas internos de Información cuenten con medidas técnicas y organizativas adecuadas.
La obtención del nivel de seguridad adecuado se garantizará con la realización, como corresponde con el Principio de Diligencia Debida, de los necesarios análisis de riesgo e impacto, a efectos de mitigar los riesgos existentes, y obtener un riesgo residual que suponga una garantía total de la confidencialidad de los datos tratados en los Sistemas Internos de Información de la Entidad.
El último aspecto a tratar en el artículo 34 del Anteproyecto, es el de la necesidad o no de nombrar a un Delegado de Protección de Datos (DPO).
En este punto, cabe destacar, que frente a los criterios establecidos en el RGPD respecto a los supuestos en los que es obligatorio el nombramiento de un DPO, el Anteproyecto va más allá y expresamente nos indica que, aunque el RGPD no exija este nombramiento, si la empresa está obligada a disponer de un Sistema Interno de Información, según el art. 34.1. mencionado, necesariamente debe proceder a su nombramiento.
Igualmente, en el art. 34.2 recoge que deberán nombrar un DPO la Autoridad Independiente de Protección del Informante, y las Autoridades Independientes que en su caso se constituyan.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación