Autora: Patricia Muleiro Antón
Fuente: Elderecho.com
El Anteproyecto de Ley reguladora de la Protección de las Personas que informen sobre Infracciones normativas y de lucha contra la corrupción muestra un claro espíritu de protección a los informantes mediante la aplicación del Reglamento (UE) 2016/679 de Protección de Datos, la LO de Protección de Datos Personales y Derechos Digitales y, en el ámbito de infracciones y sanciones penales, de la LO 7/2021.
Así, a lo largo de su Título VI, va desgranando los aspectos fundamentales desde el punto de vista de protección de datos, aclarando y matizando diversas cuestiones que pueden ir surgiendo con motivo de la utilización de los canales de comunicación.
A la hora de determinar la base de legitimación del tratamiento de los datos deberemos distinguir si estamos ante Sistemas de Comunicación Interno (SCI), ante un Sistemas de Comunicación Externo (SCE), o tratamientos derivados de una revelación publica o el interés público o el ejercicio de poderes públicos conferidos al responsable del tratamiento.
El tratamiento también se entenderá lícito cuando sea necesario realizar comunicaciones a terceros para la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.
Esto conlleva que la identidad del informante únicamente puede ser comunicada a la Autoridad Judicial, Ministerio fiscal y a la Autoridad Administrativa Competente en el marco de una investigación penal, disciplinaria o sancionadora.
El principio de información, con motivo de la necesaria protección a los informantes, se refuerza con respecto a la información general del art. 13 del RGPD y 11 de la LO 3/2018 de la siguiente manera:
Es importante recordar que este deber de información incluye la información a los empleados y terceros de la puesta a su disposición de Canales internos de Información para comunicar, de forma sencilla y ágil, cualquier posible irregularidad detectada.
Los Canales de Comunicación no podrán tratar indefinidamente los datos, sino que únicamente podrán conservarse durante el tiempo imprescindible a efectos de tomar la decisión acerca de la procedencia de iniciar o no una investigación, el cual no podrá exceder del plazo de 3 meses, ya que, pasado este periodo sin el inicio de las actividades de investigación, deberemos proceder a su supresión, anonimizándose las comunicaciones no cursadas sin que quepa su bloqueo.
Debemos destacar, en materia de ejercicio de los Derechos de los interesados, que frente a la regulación general del RGPD y LO 3/2018, se establece que en caso de ejercicio del Derecho de Oposición por la persona a la que se refieran los hechos comunicados, se presumirá, salvo prueba en contrario, que existen motivos legítimos e imperiosos para el tratamiento de sus datos en el Canal de Comunicación.
Un aspecto esencial del espíritu de este Anteproyecto, tal y como se indica en su exposición de motivos, es la protección y defensa de los derechos tanto del informante como de las personas investigadas, y el Derecho a que su identidad no sea revelada a terceras personas.
Como consecuencia, varios artículos del Anteproyecto se centran en delimitar los supuestos de acceso a los datos tratados.
Así el artículo 32, en relación a los Sistemas Internos de Información, limita los accesos del siguiente modo:
Igualmente, el artículo 31, en su apartado 2º, indica que la persona a la que se refieran los hechos relatados, no será en ningún caso informada de la identidad del informante o de quien haya llevado a cabo la revelación pública.
Se aprecia con todo ello conforme a los principios inspiradores del RGPD, la importancia de que estos Sistemas internos de Información cuenten con medidas técnicas y organizativas adecuadas.
La obtención del nivel de seguridad adecuado se garantizará con la realización, como corresponde con el Principio de Diligencia Debida, de los necesarios análisis de riesgo e impacto, a efectos de mitigar los riesgos existentes, y obtener un riesgo residual que suponga una garantía total de la confidencialidad de los datos tratados en los Sistemas Internos de Información de la Entidad.
El último aspecto a tratar en el artículo 34 del Anteproyecto, es el de la necesidad o no de nombrar a un Delegado de Protección de Datos (DPO).
En este punto, cabe destacar, que frente a los criterios establecidos en el RGPD respecto a los supuestos en los que es obligatorio el nombramiento de un DPO, el Anteproyecto va más allá y expresamente nos indica que, aunque el RGPD no exija este nombramiento, si la empresa está obligada a disponer de un Sistema Interno de Información, según el art. 34.1. mencionado, necesariamente debe proceder a su nombramiento.
Igualmente, en el art. 34.2 recoge que deberán nombrar un DPO la Autoridad Independiente de Protección del Informante, y las Autoridades Independientes que en su caso se constituyan.
QUIÉNES SOMOS
La Asociación
Junta Directiva
Sedes
Noticias
Artículos de Interés
Canal Ético
ACERCA DEL COMPLIANCE
Qué es
Compliance Officer
Marco Normativo Internacional
Cual es tu nivel de Compliance
FORMACIÓN
Eventos
Cursos Acreditados
Agenda Formativa
Cómo acreditar un curso
CERTIFICACIÓN
Certificación Profesional WCA
Certificación Sistemas de Compliance
SOCIOS
Ventajas de Asociarse
Entidades Asociadas
Profesionales Asociados
Solicitud de Adhesión
LEGAL
Aviso Legal
Política de Privacidad
Política de Cookies
Propiedad Intelectual
Condiciones de Contratación