martes, 14 de marzo de 2023

¿Protección datos personales en la Ley del Informante?

Fuente de la imagen: mvc archivo propio
En el Sitio Compliance, bajo el título “Protección de los Denunciantes[1], referencié la conclusión del trámite parlamentario en mi país de la Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, la norma quedó lista para su publicación en el BOE[2]. Con la aprobación de la ley se incorpora al Derecho español la Directiva (UE) 2019/1937[3], que regula aspectos mínimos que han de satisfacer los distintos cauces de información a través de los cuales una persona física que sea conocedora en un contexto laboral de una infracción del Derecho de la Unión Europea (UE), pueda dar a conocer la existencia de esta. El título VI regula el régimen del tratamiento de datos personales que deriven de la aplicación de la ley, incorporando el contenido del artículo 24 de la Ley Orgánica 3/2018[4], que regula la creación y mantenimiento de sistemas de información internos, pero completando las previsiones relativas a los tratamientos de datos que se lleven a cabo en los canales de comunicación externos y en los supuestos de revelación pública. Asimismo[5], procede indicar los títulos que hacen lícito el cumplimiento de una obligación legal cuando deban llevarse a cabo en los supuestos en que sea obligatorio disponer de un Sistema interno de información y en los casos de canales de comunicación externos, mientras que se presumirán válidos[6] cuando aquel sistema no sea obligatorio o el tratamiento se lleve a cabo en el ámbito de la revelación pública que regula el título V[7].

La ley también regula determinadas condiciones especiales en relación con los tratamientos de datos al objeto de garantizar plenamente el derecho a la protección de datos y en particular la identidad de los informantes y de las personas investigadas por la información suministrada. La preservación de la identidad del informante es una de las premisas esenciales para garantizar la efectividad de la protección que persigue la ley. De ahí que se exija que en todo momento deba ser garantizada. En esa línea se dispone que el dato de la identidad del informante nunca será objeto del derecho de acceso a datos personales y se limita la posibilidad de comunicación de dicha identidad sólo a la autoridad judicial, el Ministerio Fiscal o la autoridad administrativa competente exigiendo que en todo caso se impida el acceso por terceros a la misma. Por otra parte, se exige que las entidades obligadas a disponer de un Sistema interno de información, los terceros externos que en su caso lo gestionen y la Autoridad Independiente de Protección de Datos, A.A.I. así como las que en su caso se constituyan, cuenten con un delegado de protección de datos. Por tanto, los tratamientos de datos personales que deriven de la aplicación de la ley se regirán por lo dispuesto en el ordenamiento jurídico[8], no recopilándose datos personales cuya pertinencia no resulte manifiesta para tratar una información específica o, si se recopilan por accidente, se eliminarán sin dilación indebida.

Se consideran lícitos los tratamientos de datos personales necesarios para la aplicación de la ley[9]. Cuando se obtengan directamente de los interesados sus datos personales se les facilitará la información a que se refiere el ordenamiento jurídico europeo[10]. A los informantes y a quienes lleven a cabo una revelación pública se les informará, además, de forma expresa, de que su identidad será en todo caso reservada, que no se comunicará a las personas a las que se refieren los hechos relatados ni a terceros. La persona a la que se refieran los hechos relatados no será en ningún caso informada de la identidad del informante o de quien haya llevado a cabo la revelación pública[11]. En caso de que la persona a la que se refieran los hechos relatados en la comunicación o a la que se refiera la revelación pública ejerciese el derecho de oposición, se presumirá que, salvo prueba en contrario, existen motivos legítimos imperiosos que legitiman el tratamiento de sus datos personales. El acceso a los datos personales contenidos en el Sistema interno de información quedará limitado, dentro del ámbito de sus competencias y funciones, exclusivamente al responsable del Sistema y a quien lo gestione directamente; al responsable de recursos humanos o el órgano competente debidamente designado, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador. En el caso de los empleados públicos, el órgano competente para la tramitación de este; al responsable de los servicios jurídicos de la entidad u organismo, si procediera la adopción de medidas legales en relación con los hechos relatados en la comunicación; a los encargados del tratamiento que eventualmente se designen y al delegado de protección de datos.

Será lícito el tratamiento de los datos por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan. En ningún caso serán objeto de tratamiento los datos personales que no sean necesarios para el conocimiento e investigación de las acciones u omisiones a las que se refiere la ley, procediéndose, en su caso, a su inmediata supresión. Asimismo, se suprimirán todos aquellos datos personales que se puedan haber comunicado y que se refieran a conductas que no estén incluidas en el ámbito de aplicación de la ley. Si la información recibida contuviera datos personales incluidos dentro de las categorías especiales de datos, se procederá a su inmediata supresión, sin que se proceda al registro y tratamiento de estos. Los datos que sean objeto de tratamiento podrán conservarse en el sistema de informaciones únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados. Si se acreditara que la información facilitada o parte de ella no es veraz, deberá procederse a su inmediata supresión desde el momento en que se tenga constancia de dicha circunstancia, salvo que dicha falta de veracidad pueda constituir un ilícito penal, en cuyo caso se guardará la información por el tiempo necesario durante el que se tramite el procedimiento judicial. En todo caso, transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo[12].

Los empleados y terceros deberán ser informados acerca del tratamiento de datos personales en el marco de los Sistemas de información a que se refiere la Ley. Quien presente una comunicación o lleve a cabo una revelación pública tiene derecho a que su identidad no sea revelada a terceras personas. Los sistemas internos de información, los canales externos y quienes reciban revelaciones públicas no obtendrán datos que permitan la identificación del informante y deberán contar con medidas técnicas y organizativas adecuadas para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas y a cualquier tercero que se mencione en la información suministrada, especialmente la identidad del informante en caso de que se hubiera identificado. La identidad del informante solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora. Las revelaciones hechas en virtud de este apartado estarán sujetas a salvaguardas establecidas en la normativa aplicable. En particular, se trasladará al informante antes de revelar su identidad, salvo que dicha información pudiera comprometer la investigación o el procedimiento judicial. Cuando la autoridad competente lo comunique al informante, le remitirá un escrito explicando los motivos de la revelación de los datos confidenciales en cuestión. Finalmente, La A.A.I.[13] y las autoridades independientes que en su caso se constituyan, deberán nombrar un delegado de protección de datos[14]. Fuente de la información: BOE. Fuente de la imagen: mvc archivo propio.
________________________
[1] Velasco Carretero, Manuel. Protección de los Denunciantes. Sitio Compliance. 2023. Visitado el 26/02/2023.
[2] Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. BOE núm. 44, 21/02/2023.
[3] Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.
[4] Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
[5] Y de acuerdo con lo que establece el artículo 6 del Reglamento general de protección de datos.
[6] Al amparo de lo que establece el artículo 6.1.e) del Reglamento general de protección de datos.
[7] Se indica asimismo que en caso de que la persona investigada ejerza el derecho de oposición al tratamiento de sus datos personales se entiende que existen motivos legítimos imperiosos que legitiman continuar con dicho tratamiento, tal como permite el artículo 21.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
[8] específico el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, y en el Título VI de la Ley.
[9] En los supuestos de comunicación internos, este tratamiento se entenderá lícito en virtud de lo que disponen los artículos 6.1.c) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, 8 de la Ley Orgánica 3/2018, de 5 de diciembre, y 11 de la Ley Orgánica 7/2021, de 26 de mayo, cuando, de acuerdo con lo establecido en los artículos 10 y 13 de la ley, sea obligatorio disponer de un sistema interno de información. Si no fuese obligatorio, el tratamiento se presumirá amparado en el artículo 6.1.e) del citado reglamento. El tratamiento de datos personales en los supuestos de canales de comunicación externos se entenderá lícito en virtud de lo que disponen los artículos 6.1.c) del Reglamento (UE) 2016/679, 8 de la Ley Orgánica 3/2018, de 5 de diciembre, y 11 de la Ley Orgánica 7/2021, de 26 de mayo. El tratamiento de datos personales derivado de una revelación pública se presumirá amparado en lo dispuesto en los artículos 6.1.e) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y 11 de la Ley Orgánica 7/2021, de 26 de mayo. El tratamiento de las categorías especiales de datos personales por razones de un interés público esencial se podrá realizar conforme a lo previsto en el artículo 9.2.g) del Reglamento (UE) 2016/679.
[10] Artículos 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y 11 de la Ley Orgánica 3/2018, de 5 de diciembre.
[11] Los interesados podrán ejercer los derechos a que se refieren los artículos 15 a 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
[12] Prevista en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre.
[13] Autoridad Independiente de Protección del Informante.
[14] De acuerdo con lo que dispone el artículo 37.1.a) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.