PROTECCIÓN DE DATOS EN LA LEY 2/2023 REGULADORA DE LA PROTECCIÓN DE LAS PERSONAS QUE INFORMEN SOBRE INFRACCIONES NORMATIVAS Y DE LUCHA CONTRA LA CORRUPCIÓN
Hoy 21 de febrero se ha publicado en el BOE la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Entrará en vigor a los veinte días de su publicación, es decir el 13 de marzo de 2023.
Su Título VI (artículos del 29 al 34) está dedicado a la protección de datos personales, y a grandes rasgos podríamos resumir de la siguiente forma:
- Cuando sea obligatorio disponer de un sistema interno de información, los tratamientos de datos personales estarán legitimados por el art. 6.1.c) GDPR, tanto para los canales internos de entidades privadas y administraciones públicas, como para los canales externos de la Autoridad Independiente de Protección del Informante (AAI), autoridades u órganos autonómicos.
- Cuando no sea obligatorio disponer de dicho sistema o cuando el tratamiento se derive de una revelación pública, estarán legitimados por el artículo 6.1.e) GDPR.
- El tratamiento de datos de categoría especial por razones de un interés público esencial se podrá realizar conforme a lo previsto en el artículo 9.2.g) GDPR.
- A la persona informante se le informará, además de lo exigido en el art. 13 GDPR, de forma expresa, de que su identidad será en todo caso reservada y que no se comunicará a las personas a las que se refieren los hechos relatados, ni a terceros.
- Si la persona a la que se refiere la información comunicada ejerce su derecho de oposición, se presumirá que, salvo prueba en contrario, existen motivos legítimos imperiosos que legitiman el tratamiento de sus datos personales.
- Se elimina el artículo 24 de la LOPDGDD que regula el tratamiento de datos personales de los «Sistemas de información de denuncias internas», por quedar regulado en esta ley.
- La AAI y las autoridades independientes que en su caso se constituyan, deberán designar un DPO.
RESUMEN DEL TÍTULO VI: PROTECCIÓN DE DATOS PERSONALES
Todos los tratamientos derivados de la aplicación de esta ley se rigen por lo dispuesto en la normativa de protección de datos (GDPR, LOPDGDD y LO 7/2021)
Artículo 30. Licitud de los tratamientos
- Para los canales internos:
- Cuando sean obligatorios los tratamientos estarán legitimados por el artículo 6.1.c) GDPR.
- Cuando no sean obligatorios los tratamientos estarán legitimados por el artículo 6.1.e) GDPR.
- Para los canales externos los tratamientos estarán legitimados por el artículo 6.1.c) GDPR.
- Para una revelación pública el tratamiento estará legitimado por el artículo 6.1.e) GDPR.
- El tratamiento de datos de categoría especial por razones de un interés público esencial se podrá realizar conforme a lo previsto en el artículo 9.2.g) GDPR.
Artículo 31. Información del tratamiento y derechos
- Persona informante: cuando los datos se obtengan del interesado se informará conforme al artículo 13 GDPR, se les informará, además, de forma expresa, de que su identidad será en todo caso reservada, que no se comunicará a las personas a las que se refieren los hechos relatados ni a terceros. Podrán ejercer los derechos contenidos del art. 15 al 22 GDPR.
- Persona a la que se refiere la información: si ejerce su derecho de oposición, se presumirá que, salvo prueba en contrario, existen motivos legítimos imperiosos que legitiman el tratamiento de sus datos personales.
Artículo 32. Tratamientos en el sistema interno de comunicación de irregularidades
Exclusivamente podrán acceder a los datos personales del sistema:
- El responsable del sistema y a quien lo gestione directamente.
- El responsable de RRHH o el órgano competente debidamente designado, solo cuando pudiera proceder la adopción de medidas disciplinarias contra una persona trabajadora o funcionaria.
- El responsable de los servicios jurídicos de la entidad u organismo, si procediera la adopción de medidas legales en relación con los hechos informados.
- Los encargados del tratamiento que eventualmente se designen.
- El delegado de protección de datos.
Será lícito el tratamiento de los datos por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.
En ningún caso serán objeto de tratamiento los datos personales que no sean necesarios para estos fines o se refieran a conductas que no estén incluidas en el ámbito de aplicación de la ley, procediéndose, en su caso, a su inmediata supresión.
Si la información recibida contuviera datos personales de categoría especial, se procederá a su inmediata supresión, sin que se proceda al registro y tratamiento de los mismos.
Los datos que sean objeto de tratamiento podrán conservarse en el sistema de información únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados.
Si se acreditara que la información facilitada o parte de ella no es veraz, deberá procederse a su inmediata supresión desde el momento en que se tenga constancia de dicha circunstancia, salvo que dicha falta de veracidad pueda constituir un ilícito penal, en cuyo caso se guardará la información por el tiempo necesario durante el que se tramite el procedimiento judicial.
En todo caso, transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPDGDD.
Las personas trabajadoras y terceros deberán ser informados acerca del tratamiento de datos personales en el marco de los Sistemas de información.
Artículo 33. Preservación de la identidad del informante y de las personas afectadas.
La persona informante tiene derecho a que su identidad no sea revelada a terceras personas.
Los sistemas internos de información, los canales externos y quienes reciban revelaciones públicas no obtendrán datos que permitan la identificación del informante y deberán contar con medidas técnicas y organizativas adecuadas para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas y a cualquier tercero que se mencione en la información suministrada, especialmente la identidad del informante en caso de que se hubiera identificado.
La identidad del informante solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora.
Las revelaciones hechas en virtud de este apartado estarán sujetas a salvaguardas establecidas en la normativa aplicable. En particular, se trasladará al informante antes de revelar su identidad, salvo que dicha información pudiera comprometer la investigación o el procedimiento judicial. Cuando la autoridad competente lo comunique al informante, le remitirá un escrito explicando los motivos de la revelación de los datos confidenciales en cuestión.
Artículo 34. Delegado de protección de datos.
Conforme al art. 37.1.a) GDPR, la Autoridad Independiente de Protección del Informante (AAI), y las autoridades independientes que en su caso se constituyan, deberán nombrar un delegado de protección de datos.