Recientemente se ha publicado en el BOE la Ley 2/2023 de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, con especial incidencia en la protección de datos personales, dicha normativa transpone en el marco jurídico español la Directiva (EU) 20119/1937, conocida como “Whistleblowing.
Con la entrada en vigor de esta Ley, se pretende hacer frente a las posibles represalias que puedan surgir de la aportación de dicha información por personas que en un contexto laboral o profesional detecten infracciones penales o administrativas graves o muy graves. Asimismo, se insiste en la preservación de la confidencialidad aceptando incluso el anonimato de los denunciantes.
Protección del informante
La protección abarca:
- A todas aquellas personas que tienen vínculos profesionales o laborales con entidades tanto del sector publico como del sector privado
- Aquellas que ya han finalizado su relación profesional, voluntarios, trabajadores en prácticas o en periodo de formación, personas que participen en procesos de selección.
- También se extiende el amparo de la ley a las personas que prestan asistencia a los informantes.
El informante por el hecho de comunicar la existencia de una infracción penal o administrativa no tiene condición de interesado, sino de colaborador.
Se presumirá represalia cualquier medida que se adopte respecto de un informante, que podrá tener o no una relación laboral con la empresa.
Tratamiento de los datos personales
El Título VI “Protección de datos personales”, establece en sus artículos 29 a 34 que:
- El tratamiento de datos personales resultará lícito si se tratan para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones conforme a lo establecido en el RGPD y la LOPDGDD.
- Obligación de facilitar la información sobre el proceso a los interesados y el procedimiento de ejercicio de sus derechos.
- También establece quienes se encuentran habilitados a acceder a esos datos de carácter personal y cuándo deben suprimirlos.
- Se tienen en cuenta el deber de preservación de la identidad del informante y de las personas investigadas, pudiéndose comunicar esta información a la autoridad judicial, Ministerio Fiscal
Entre las cuestiones que regula el citado Título, se encuentran, la legitimación para el tratamiento de datos personales de estos canales de denuncia, incluyendo que cuando sean categorías especiales de datos el amparo vendrá dado por el artículo 9.2 RGPD (interés público esencial); el cumplimiento de los derechos; quién puede acceder al sistema interno de información, entre ellos el DPD; la conservación de los datos, no aplicando el bloqueo; y que tanto la Autoridad Independiente de Protección del Informante, como otras que se constituyan, deben nombrar un DPO.
Se modifica también el artículo 24 de la LOPDGDD que regula el tratamiento de datos personales de los “Sistemas de Información de denuncias internas”. Se elimina todo su contenido (ya lo regula esta ley) y se hace mención a que el tratamiento se ajustará al RGPD y a la LOPDGDD.
Acceso a los datos personales
Sólo podrán acceder a los datos personales en el sistema de denuncias las siguientes personas:
- El responsable del propio sistema y quien lo gestione directamente
- El responsable de recursos humanos u órgano competente
- El responsable de los servicios jurídicos
- Los encargados de tratamiento que lo precisen para la prestación del servicio.
- El Delegado de Protección de Datos
El tratamiento de los datos personales en los canales de denuncia se considera lícito cuando sea obligatorio disponer del sistema de información al ser necesario para el cumplimiento de una obligación legal. El tratamiento también se presume válido cunado el sistema no sea obligatorio, pero voluntariamente se decida crear uno, al ser necesario para la satisfacción del interés público.
Los tratamientos se entenderán necesarios para el cumplimiento de una obligación legal cuando deban llevarse a cabo en los supuestos en que sea obligatorio disponer de un “Sistema Interno de Información” y en los casos de canales de comunicación externos.
Esta obligación de implementar un Sistema interno de comunicación (canal de denuncias) resulta exigido en los siguientes supuestos:
- Empresas privadas de 50 o más trabajadores
- Entidades del sector público entre las que se encuentran los municipios de más de 10.000 habitantes.
- Entidades del sector privado que gestionen o reciban fondos públicos, entre las que se encuentran partidos políticos, sindicatos, fundaciones u organizaciones empresariales.
“Canal Interno de Información”.
Este Canal deberá implantarse en el plazo de tres meses desde la entrada en vigor de esta Ley (13/06/2023). Sin embargo, el plazo se extiende hasta el 1 de diciembre de 2023 para las empresas privadas de menos de 250 trabajadores y los municipios de menos de 10.000 habitantes.
Su implantación será objeto de seguimiento por la Inspección de Trabajo y se establece un severo régimen sancionador por incumplimientos.
Se prevé la constitución de la “Autoridad Independiente de Protección del Informante (AAI)” que tendrá la capacidad de imponer multas de hasta un millón de euros para aquellas organizaciones que incumplan la normativa.
El órgano de administración de la empresa es el responsable de la implantación del sistema, previa consulta con la representación legal de las personas trabajadoras.
Identidad del informante
La preservación de la identidad del informante es una de las premisas esenciales. De ahí que se exija que en todo momento deba ser garantizada. Por tanto, el dato de la identidad de informante nunca será objeto del derecho de acceso a datos personales y se limita la posibilidad de comunicación de dicha identidad sólo a la autoridad judicial, el Ministerio Fiscal o la autoridad administrativa competente, exigiendo que en todo caso se impida el acceso por terceros a la misma.
Estos canales de denuncias, deben gozar de una protección especial, sobre todo en cuanto a confidencialidad se refiere tal y como establece el art.5.2B) ”Estar diseñado, establecido y gestionado de una forma segura, de modo que se garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación y de las actuaciones que se desarrollen en la gestión y tramitación de la misma, así como la protección de datos, impidiendo el acceso de personal no autorizado”
Si la gestión del canal de denuncias se lleva a cabo por un tercero, este será encargado de tratamiento conforme al art.6.1c) “el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”
Si en la denuncia se tratasen datos de salud, el tratamiento de las categorías especiales de datos personales por razones de un interés público esencial se podrá realizar conforme a lo previsto en el art.9.2g) del RGPD.
Eliminación de los datos
Los datos que sean objeto de tratamiento podrán conservarse en el sistema de informaciones únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados.
Si se acredita que la información facilitada o parte de ella no es veraz, deberá procederse a su inmediata supresión desde el momento que se tenga constancia de dicha circunstancia, salvo que dicha falta de veracidad pueda constituir un ilícito penal, en cuyo caso se guardará la información por el tiempo necesario durante el que se tramite el procedimiento judicial.
En todo caso, transcurridos 3 meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Las comunicaciones a las que no se haya dado curso, solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el art.32 de la LOPDGDD.
La investigación de las informaciones recibidas tendrá una duración máxima de tres meses ampliable a 6 meses en casos de extraordinaria complejidad.
Información y publicidad
Las empresas deberán dar publicidad, visibilidad y accesibilidad máximas a eses sistema interno de información.
En el caso de tener la empresa página web, el canal deberá aparecer en la página de inicio, en sección separada fácilmente identificable.
Responsable
El sistema deberá contar con un responsable, que será un directivo de la empresa nombrado por el órgano de administración, debiendo ejercer su cargo con independencia. Podrá asumir la función de responsable del sistema el compliance officer o responsable de cumplimiento normativo.
Régimen sancionador
La potestad sancionadora corresponde a la AAI (Autoridad Independiente de Protección del Informante). Constituye una infracción muy grave no tener implantado el sistema o adoptar represalias contra los informantes, sancionable con muta de 3001 €a 30.000€ para las personas físicas y multa de entre 600.001€ a 1.000.000€ para las personas jurídicas.
Se podrán imponer asimismo sanciones accesorias como la amonestación, la prohibición de obtener subvenciones u otros beneficios fiscales durante un plazo de hasta 4 años, así como la prohibición de contratar con el sector público durante 3 años.
Corresponsabilidad del tratamiento
En aquellos casos en los que exista una corresponsabilidad en la gestión de un sistema de denuncias (por ejemplo, cuando un grupo de empresas
compartan un único sistema que gestionen conjuntamente), la Ley menciona expresamente la obligación de suscribir un acuerdo de corresponsabilidad conforme a lo previsto en el art.26 RGPD.
Delegado de Protección de Datos
En cuanto a la figura del Delegado de Protección de Datos (DPO) si bien en el Anteproyecto de Ley, así como en el Proyecto, se establecía la obligación de nombramiento de DPO a las empresas que debían establecer un canal de denuncias (las que tengan contratado más de 50 trabajadores), en la Ley definitiva publicada, dicho nombramiento no se exige de manera expresa, pero si conlleva a cierta duda, de esta forma en el Preámbulo se dispone que “se exige que las entidades obligadas a disponer de un Sistema interno de información, los terceros externos que en su caso lo gestionen y la Autoridad Independiente de Protección de Datos, A.A.I. así como las que en su caso se constituyan, cuenten con un delegado de protección de datos”, mientras que el artículo 34 establece que “la Autoridad Independiente de Protección del Informante, A.A.I., y las autoridades independientes que en su caso se constituyan, deberán nombrar un delegado de protección de datos”.
Por tanto, ante esta posible contradicción, recomendaríamos que empresas de gran tamaño en especial aquellas de más de 50 trabajadores obligadas por esta ley a establecer canales de denuncias pudieran proceder a nombrar un DPO que asesora en todo momento y participara en los mismos en los términos mencionados y fijados por el artículo 24 de la Ley.
