ENTREVISTA

"Es fundamental que los procedimientos que se articulen en las organizaciones atiendan a la realidad de lo que va a suponer la gestión de una denuncia"

Entrevista
Delegado de Proteccion de datos y su situación_img

Entrevistamos a Santiago Cruz Roldán y Jordi Morera Torres, de GOVERTIS Advisory Services, con motivo de la celebración del I Insight del 2023 por parte de el club DPD de la AEC

Hola Santiago, hola Jordi, ustedes en el I Insight del 2023 intervendrán en el taller que lleva por título "Cómo implantar un sistema y canal interno de información e implicaciones para el DPD, a raíz de la Ley 2/2023, de 20 de febrero”. En este sentido ¿Qué tiene de especial relevancia esta Ley 2/2023, o Ley del canal de denuncias, en el ámbito de la Protección de Datos Personales?

La Ley obliga a proteger a la persona que informe sobre determinados hechos que pueden comprometer a la organización. Por ello cobra vital importancia, para garantizar la confidencialidad, que se establezcan, sobre el Sistema Interno de Información, los requerimientos que permitan garantizar la tutela de los datos de carácter personal, y con ello salvaguardar los derechos y libertades de los informantes y personas implicadas en una información remitida al canal.  En definitiva, la implementación de un Sistema de denuncias, como ha advertido la Agencia Española de Protección de Datos, supone un riesgo que hay que gestionar para los datos de las personas cuyos datos se traten.

 

¿Cómo afecta esta norma a la figura del DPD y hasta qué punto es necesario tener un DPO si la organización implanta un canal de Denuncias?

Si partimos de lo dicho anteriormente y que hay un riesgo para los datos de las personas informantes, es fundamental  contar con un asesoramiento especializado en protección de datos para implantar las obligaciones que prevé esta Ley, y el DPD es el garante de los datos personales en una organización, cuando se le nombra. Por ello,  en los trabajos parlamentarios de esta Ley, se contemplaba que aquellas entidades obligadas a tener un Sistema Interno de Información tuviesen que nombrar un Delegado de Protección de Datos. No obstante, y a pesar de que el texto finalmente aprobado por las Cortes Generales ha eliminado el artículo que obligaba expresamente a ello, se puede deducir claramente del artículo 32 de la Ley 2/2023, que el DPD sigue siendo un rol clave, ya que está expresamente autorizado para el acceso al sistema interno de información, por lo que es indudable que el legislador otorga al  DPD un papel esencial a efectos de supervisar cómo se tratan los datos dentro del Sistema Interno de Información, y bajo nuestro punto de vista, también debe asegurarse de que las personas que acceden al Sistema y que van a realizar investigaciones, reciben una adecuada formación en materia de protección de datos y confidencialidad.

 

¿Cómo aplica el principio de minimización de datos en la gestión del canal de denuncias y qué rol desempeña el DPO en todo ello?

Es recomendable que el procedimiento que elabore cada entidad para gestionar las denuncias que reciba haga referencia de forma explícita a la necesidad de exclusivamente tratar aquellos datos que sean necesarios para la finalidad pretendida. En estos procedimientos, se deberán establecer medidas para eliminar cualquier dato no pertinente. De hecho, incluso la Ley hace referencia a que no se deberán recopilar datos no pertinentes, y si estos se tratasen por accidente, deben eliminarse sin dilaciones. En cualquier caso, no deben ser tratados los datos de carácter personal que no sean necesarios para la investigación, debiéndose suprimir estos. En este sentido se plantea un importante reto, puesto que la necesidad de eliminar aquellos datos excesivos para la finalidad de la investigación requiere evidentemente otorgar capacidad a las partes gestoras de los casos para modificar los datos introducidos por el informante, lo cual puede plantear dudas razonables sobre la veracidad de las declaraciones consignadas en el transcurso de la investigaciones o incluso de las pruebas aportadas.

 

¿Qué medidas de seguridad y protección de datos deberían considerarse al diseñar y poner en marcha el sistema y canal interno de información?

Entre otras medidas, deben articularse medidas de limitación de acceso. La propia Ley hace referencia a los perfiles que podrían tener acceso a los Sistemas. Deberá limitarse el acceso a estas personas para las funciones que exclusivamente se prevea. Una correcta definición de los accesos, es el primer paso. La gestión de permisos debería poder evitar que un potencial denunciado pueda acceder al contenido de la denuncia, y por supuesto, excluirlo de las labores de investigación y gestión de la información. Además, debe establecerse un sistema de registro de accesos al sistema. También, deben diseñarse medidas tendentes a conservar la información exclusivamente por el tiempo necesario para realizar la investigación, con automatización del borrado y bloqueo de la información, a ser posible. Además, el sistema deberá exclusivamente permitir la conservación de información que guarde relación con la información transmitida y evitándose en la medida de lo posible, el tratamiento de datos no pertinentes. Por último, los usuarios autorizados deberían firmar con un compromiso reforzado de confidencialidad, con especiales medidas disuasorias para el caso de que se pueda exfiltrar información vulnerándose el deber de secreto.

 

La Ley 2/2023 contempla la figura del “Responsable del Sistema” ¿Puede reunir una misma persona en una organización los cargos de Responsable de Sistema y DPO, hay incompatibilidades o conflictos de interés? ¿Es o no aconsejable esa compaginación de responsabilidades?

La Ley 2/2023, en efecto, contempla esta figura del Responsable del Sistema interno de información que debe ser nombrado por el órgano de administración u órgano de gobierno. En el ámbito del sector privado, la Ley reserva esta función a un directivo de la entidad, salvo que la naturaleza o dimensión no lo justifiquen. Además, la norma dispone expresamente que esta función puede ser realizada por la persona que desempeñe las funciones de Compliance Ofiicer, si ésta “ya existiese”. Concretamente, la Ley hace referencia  a: “la persona responsable de la función de cumplimiento normativo o de políticas de integridad, cualquiera que fuese su denominación”.

 

Por lo que respecta a la posibilidad de que sea compatible con el cargo de DPD y aunque se trata de una materia diferente, el Gabinete Jurídico de la Agencia Española de Protección de Datos, evacuó una consulta en la que analizaba la compatibilidad entre la figura del Responsable de Seguridad de la Información del Esquema Nacional de Seguridad y el DPD. La AEPD consideró que, con carácter general, debería existir una separación entre estas funciones. No obstante, incorporó como excepción que en aquellas entidades que, por tamaño o recursos, no pudieran separar dicha función, podría ser admisible la designación en la misma persona, debiendo incorporar medidas para garantizar la independencia y ausencia de conflicto de interés. Por tanto sería posible considerar (salvo que haya un pronunciamiento de la AEPD que en este caso establezca lo contrario) que también cabría aplicar este criterio aquí.

 

Ese podría ser un argumento a favor de la compatibilidad quizá en ese segmento de organizaciones y con las debidas medidas para garantizar la independencia y ausencia de conflicto de interés.  Conflicto de interés que se puede producir en algún supuesto si consideramos que  por el tipo de informaciones que puedan sustanciarse por el sistema la protección de datos es una de las materias respecto de la que se pueden suscitar irregularidades. Por tanto ¿Qué ocurriría si se pone de manifiesto por el informante que hay infracciones en la entidad en materia de protección de datos y el responsable fuera el DPD?

 

En definitiva, creemos que en principio las funciones no son compatibles y deberían de separarse estos dos roles en personas u órganos diferenciados (al igual que sucede con el ejemplo del CISO y el DPD), aunque al igual que en dicho supuesto en determinados casos y con los debidos controles quizá podría ser admisible.

 

¿Debería participar el DPO en la definición de los principios generales que rigen el funcionamiento del sistema del canal interno de información o denuncias?

Sin duda alguna. Empezando por el principio de transparencia que debe regir el Sistema Interno de Información y por supuesto, cualquier tratamiento de datos. No nos podemos olvidar de que tanto los denunciantes o informantes, como los potenciales denunciados deben ser informados sobre la existencia de los sistemas internos de información y del tratamiento de datos que implica la formulación de una denuncia. La Ley dedica varios preceptos a garantizar la información a suministrar, que, en todo caso, debe ser complementado con lo dispuesto en la normativa de protección de datos. Además del principio de transparencia, conforme al principio de responsabilidad proactiva y el principio de protección de datos desde el diseño, el funcionamiento debe estar dibujado de forma que se garanticen los derechos y libertades de los interesados, especialmente, las garantías de confidencialidad que hemos ido indicando anteriormente.

 

Si la denuncia ha de ser anónima, es decir que se ha de preservar la identidad del informante o denunciante, pero éste debe ser informado de cómo se desarrolla el procedimiento ¿Cómo es posible establecer y mantener un canal de comunicación entre el responsable del Sistema y el informante que opere con esa obligada anonimización? ¿Y en estos casos quién debería ser el responsable del tratamiento de los datos personales?

La única posibilidad es acudir a la tecnología siendo un importante reto de los equipos de desarrollo. En términos de tendencias, lo habitual suele ser la utilización de códigos generados por cada caso únicos, con o sin contraseña adicional, a efectos de que el informante pueda acceder al estado de su caso, si bien cabe destacar que hay una importante parte del anonimato que no depende de la solución, sino de la actitud del informante y el cuidado propio de sus acciones, por lo que es esencial la sensibilización a los usuarios, por ejemplo, sobre como eliminar los metadatos de los archivos o evidencias que nos puedan aportar.

Muchas de las herramientas actuales permiten mantener el contacto con el informante. En las soluciones existentes en el mercado, también en la que ofrecemos desde Govertis – Telefónica Tech, Sandas GRC – Canal de Alertadores, se requiere que el informante, cuando es anónimo, acceda a la herramienta, para que el investigador pueda comunicarse con éste. Es decir, se requiere que el informante, no se desentienda de la información que suministra. En cualquier caso, el Responsable del tratamiento sigue siendo la entidad obligada por Ley a establecer el Sistema Interno de Información.

 

Y pensando en nuestro público lector compuesto mayoritariamente por profesionales del mundo del Derecho como abogados, asesores, jueces y magistrados, notarios, etc… ¿Qué consejos daría usted desde la perspectiva del DPO para garantizar la privacidad en la gestión de un canal de denuncias, tanto si se trata de un canal o sistema interno como si es externo?

 

En primer lugar, es imprescindible poner al corriente al DPO con suficiente antelación del proyecto de implantación del sistema interno o externo que se vaya a acometer siendo especialmente recomendable y útil llevar a cabo una Evaluación de Impacto de Datos de Carácter Personal.

 

Los resultados de la misma van a ser claves para tener un roadmap de los puntos más críticos, que van a pivotar especialmente sobre como garantizamos los derechos de información de las partes incluyendo no solo al informante, sino también a la persona a la que hace referencia las informaciones así como a los terceros de apoyo, su confidencialidad durante todo el proceso, la adecuada minimización de datos sin poner en peligro la credibilidad y veracidad de las informaciones, la selección adecuada de proveedores de herramientas así como la participación y supervisión constante del DPD.

 

Es fundamental que los procedimientos que se articulen en las organizaciones atiendan a la realidad de lo que va a suponer la gestión de una denuncia. Estos procedimientos deberán atender a la distinta casuística que se va a encontrar el equipo que gestione el canal de denuncias. Estos procedimientos deben atender, por supuesto a la naturaleza jurídica de la organización, al contexto, a su grado de madurez en el ámbito de Compliance, etc. Se deben diseñar, teniendo en cuenta que es fundamental que se garantice la protección del informante y que no se va a vulnerar el derecho a la presunción de inocencia de los investigados. El tratamiento de las informaciones que se comuniquen dentro del canal de denuncias debe ser totalmente adecuado, para evitar cualquier posible nulidad probatoria o procedimental. Es prioritario que los gestores y perfiles con acceso al sistema de denuncias cuenten con una formación jurídica muy especializada y experiencia práctica para atender las cuestiones que se van a encontrar. En unos primeros momentos, donde hay escasez de experiencia práctica en este campo, la seniority la deberían de aportar los abogados con conocimientos TIC y de mayor perfil procesalista, en tanto que conocen las garantías existentes en el ámbito de un proceso judicial, regido por la legislación de enjuiciamiento.

 

Y es especialmente importante estar bien formados en este ámbito, para ellos ecosistemas como el Club del DPD de la AEC son un magnifico entorno en el que aprender y compartir experiencias y conocimientos.