El pasado mes de marzo el Consejo de Ministros aprobó el Anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción por la que se transpone la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019.
Con esta norma se determina el cuadro normativo por el que se regulen los conocidos como “canales de denuncias” internas, a partir del marco regulatorio comunitario establecido por la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, a la cual ya le dedicamos una entrada propia en nuestro blog. A continuación, pasaremos a realizar un breve análisis de los aspectos más destacados del Anteproyecto en su relación con la normativa vigente en materia de protección de datos personales, a partir de lo regulado en el Título VI (arts. 29 a 34) y en su Disposición final cuarta.
Ámbito objetivo:
El ámbito objetivo de la norma incluirá a todas “aquellas comunicaciones que informan sobre actuaciones y que constituyen, de probarse, delitos o infracciones muy graves o graves o vulneraciones del ordenamiento jurídico que afectan directamente al interés general”.
Ámbito subjetivo:
Dentro del ámbito subjetivo, la protección de esta norma alcanza a aquellas personas que tengan un vínculo profesional con entidades tanto del sector público como privado, así como “aquellas que ya han finalizado su relación profesional, voluntarios, trabajadores en prácticas o en período de formación, personas que participan en procesos de selección”, pero también se extiende a las personas que prestan asistencia a los informantes, las personas de su entorno que pudieran sufrir represalias directamente relacionadas con la comunicación de dicha información así como las personas jurídicas propiedad del informante, entre otros supuestos.
Ámbito de aplicación:
¿Qué entidades están obligadas a configurar un sistema de información interno?
Dentro del ámbito de aplicación de la norma, estarán obligadas a configurar un sistema de información interno:
- Todas aquellas empresas con más de cincuenta trabajadores.
- Los partidos políticos, sindicatos, organizaciones empresariales, asi como las fundaciones que de los mismos dependan, siempre que reciban fondos públicos para su financiación y con independencia del número de empleados.
- Todas las entidades que conforman el sector público estarán igualmente obligadas a configurar un sistema de información interno, entre las que cabe destacar las Administraciones públicas, tanto ya sean territoriales o institucionales, las universidades públicas, las corporaciones de derecho público y el resto de sociedades, fundaciones y otras entidades que mantengan una relación de pertenencia al sector público.
Protección de datos personales
En primer lugar, en cuanto a la referencia normativa a la regulación vigente en materia de protección de datos personales, destaca la necesidad de cumplir con la obligación de transposición de la Directiva comunitaria y garantizar una mayor protección a los informantes, de tal manera que se ofrezca la información de una manera clara y sencilla por parte de las organizaciones, así como garantizar el cumplimiento de los criterios de seguridad de la información, tales como su integridad, disponibilidad y confidencialidad. Precisamente, esta norma se crea ex novo pero con la clara intención de armonizar, desde el principio, con el marco regulatorio comunitario vigente, en el que se incluye, a este respecto, el Reglamento General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD).
Para cumplir con unas de las principales finalidades de esta normativa de transposición basada en la protección adecuada frente a posibles represalias que pudieran sufrir las personas informantes; en materia de la protección de datos personales, la Directiva (UE) 2019/1937, de 23 de octubre de 2019, recuerda, en su art. 17, que el tratamiento de los datos personales relativo al contenido de las informaciones objeto de regulación por la misma deberán cumplir lo estipulado en la normativa comunitaria vigente de protección de datos personales. Así, en todo momento, el tratamiento de datos personales incluidos en los sistemas de gestión de la información aquí referidos deberá garantizar, en todo caso, el cumplimiento de los principios de licitud del mismo, tal y como se establecen en el art. 6 RGPD.
En el ámbito nacional, cabe destacar que el Anteproyecto de Ley ya anticipa, a través de su Disposición final cuarta, la modificación del contenido del art. 24 LOPDGDD relativo a la creación y mantenimiento de los sistemas de información internos, a efectos de actualizar el contenido del mismo, para extender su previsión a los tratamientos de datos que tengan lugar en el seno de los canales de comunicación externos y en los supuestos de revelación pública. El contenido del mismo se modifica a partir de lo dispuesto en la Disposición final cuarta, una vez que se apruebe la legislación nacional de transposición, la cual se considerará, tras su promulgación, como legislación específica en relación al tratamiento de datos personales relativo a los sistemas de información internos y externos sobre posibles infracciones normativas y de lucha contra la corrupción que, en todo caso, estarán sujetas a lo estipulado en la normativa vigente en materia de protección de datos (RGPD y LOPDGDD).
¿Cuál es la base de legitimación?
En cuanto a la base de legitimación del tratamiento de datos personales en los supuestos objeto de regulación por la presente norma, cabe destacar que, si la existencia de un sistema de información interno y/o externo responde a una obligación conforme a lo estipulado en la presente normativa, la licitud de dicho tratamiento se fundamenta en el cumplimiento de una obligación legal [art. 6.1.c) RGPD]; en cambio, cuando el tratamiento de tales datos personales tenga carácter voluntario o se lleve a cabo en el ámbito de la revelación pública, dicho tratamiento se considerará lícito en base a su necesidad para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable de dicho tratamiento [art. 6.1.e) RGPD].
En este supuesto [(art. 6.1.e) RGPD], el responsable del tratamiento de los datos personales lleva a cabo el mismo a partir de la existencia de un “motivo legítimo imperioso”, tal y como se establece en el art. 21.1 RGPD, lo que supone que el responsable de dicho tratamiento no estará obligado a dejar de tratar tales datos personales del interesado por el mero ejercicio, por parte de este último, de su derecho de oposición en materia de protección de datos. Cabe entender que existe una razón, conforme a los principios de licitud del tratamiento de datos personales tal y como se regulan en la normativa vigente de protección de datos, para que prevalezca la continuación del procedimiento de gestión de información sobre infracciones del ordenamiento jurídico sobre los derechos personalísimos en materia de protección de datos relativos a la persona del interesado objeto de investigación.
A este respecto, otro de los derechos en materia de protección de datos que puede verse limitado por el tratamiento de datos personales relativo al sistema de información esbozado, emana de que una de las finalidades de la armonización regulatoria entre esta normativa y el RGPD consiste en garantizar la protección de la persona física del informante frente a posibles represalias por parte de las personas investigadas por la información suministrada.
Para dar cumplimiento a esta finalidad, por tanto, los datos personales de la persona informante no podrán ser objeto del derecho de acceso, y la comunicación de tales datos relativos a la persona informante solo podrán ser comunicados a determinadas entidades, tales como la Autoridad judicial, el Ministerio fiscal o la Autoridad administrativa con competencia que corresponda (art. 24 del Anteproyecto de Ley), y siempre a partir del régimen de confidencialidad de las comunicaciones regulado en el RGPD y la LOPDGDD. No obstante lo anterior, será lícito “el tratamiento de los datos por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan” (art. 32.2 del Anteproyecto de Ley).
¿Quiénes están autorizados para acceder a los datos personales?
En relación a las personas autorizadas para acceder a los datos personales contenidos en los sistemas de información internos, dicho acceso se limita a las siguientes figuras responsables:
a) responsable del sistema y quien lo gestione directamente;
b) el responsable u órgano público competente de la gestión de los recursos humanos en relación a un procedimiento disciplinario;
c) el responsable de los servicios legales de la entidad, en el caso del inicio de acciones legales que correspondan;
d) los encargados del tratamiento designados a tal respecto; y
e) el delegado de protección de datos.
A este último respecto, las entidades que estén obligadas conforme a dicha normativa a configurar un sistema de información interno, los terceros encargados de dicha gestión, la Autoridad independiente de protección de datos que corresponda y las autoridades independientes de protección del informante (una figura de nueva creación como pilar básico del sistema institucional para la protección del informante) que a tal efecto se constituyesen, estarán obligados a designar un Delegado de Protección de Datos, a efectos de promover el cumplimiento normativo en materia de protección de datos durante el proceso de gestión de la información relativa a la comisión de determinadas infracciones del ordenamiento jurídico comunitario; y preservar así el derecho a la protección de datos de todas las personas físicas que pudieran verse afectadas por el mismo.
En esta línea, cabe recordar que todos los sujetos obligados, de acuerdo con lo dispuesto en esta ley, a disponer de un canal interno de informaciones, con independencia de que formen parte del sector público o del sector privado, deberán contar con el libro-registro de las comunicaciones recibidas y de las investigaciones internas que correspondan, mantendrán el carácter confidencial y solo se habilitará el acceso a su contenido “a petición razonada de la Autoridad judicial competente, mediante auto, y en el marco de un procedimiento judicial y bajo la tutela de aquélla” (art. 26.1 del Anteproyecto de Ley). El plazo de conservación de los datos personales relativos a las comunicaciones recibidas y a las investigaciones internas en que hubieran derivado las anteriores, se conservarán durante el plazo de tiempo estrictamente necesario y proporcionado para dar cumplimiento a la finalidad de investigación para la cual fueron recopilados, no pudiendo exceder dicho plazo de conservación, en ningún caso, de diez años desde que fueran objeto de tratamiento para los fines referidos. Por su parte, transcurridos tres meses desde la recepción de la comunicación sin que se hubieran iniciado actuaciones de investigación, se procederá a la supresión de tales datos, salvo que la finalidad de su conservación fuera dejar evidencia del funcionamiento del sistema, en cuyo caso el contenido de las comunicaciones constará de manera anonimizada. A este respecto, conviene traer a colación la consulta remitida por la Asociación Española de Compliance relativa al período de conservación de los datos personales recabados a través de los canales de denuncias internos. De tal forma que transcurridos tres meses, desde la introducción de los datos en el sistema de denuncias, estos podrán seguir siendo tratados por el órgano al que corresponda, para la investigación de los hechos denunciados, no conservándose en el propio sistema de información de denuncias internas, y pasando a integrase en los sistemas propios del órgano de cumplimiento normativo o en el de que tenga a su cargo la gestión de los recursos humanos de la entidad.
En cuanto al cumplimiento con el deber de información a los interesados, tanto los trabajadores como los terceros implicados, deberán ser debidamente informados de la existencia de un sistema de información interno. Si los datos personales se han obtenido directamente del propio interesado, se deberá proporcionar al mismo la información contenida en el art. 13 RGPD y 11 LOPDGDD.
Por su parte, a los informantes y a todas aquellas personas que hagan uso del canal de revelación pública, se les informará de que, con motivo de su comunicación, su identidad se mantendrá reservada, no revelándose a ningún tercero no autorizado, incluyendo la persona sobre la que versan supuestamente tales hechos, ninguna información relativa a los hechos comunicados ni aquellos otros a través de los que se pudiera identificar su persona; si bien, ello no exime de la necesidad de garantizar los derechos en materia de protección de datos (arts. 15 a 22 RGPD) de todos los interesados afectados por dicho tratamiento de datos personales, con las limitaciones anteriormente indicadas.
Para concluir, si su entidad desea implementar un sistema de información interno próximamente, le recomendamos continuar, en este punto, con la lectura de la siguiente entrada al blog (AQUÍ), donde se recuerda la necesidad de garantizar, al mismo tiempo, el cumplimiento legal en materia de protección de datos en su aplicación a las relaciones laborales y la mejor manera de integrar el sistema de información interno con una estrategia de cumplimiento normativo de manera conjunta e integral. Sin perjuicio de lo anterior, cabe recordar que el texto aquí referido consiste en un Anteproyecto de ley, el cual deberá someterse a la correspondiente tramitación parlamentaria antes de su aprobación definitiva y posterior publicación en el Boletín Oficial del Estado. Por todo ello, conviene mantenerse informados sobre el curso del proceso legislativo para determinar el contenido definitivo del propio texto legal.