Informe jurídico de la AEPD en el que se determina la responsabilidad desde la perspectiva del RGPD de las organizaciones obligadas a disponer de sistemas internos de información (canales de denuncia)
La AEPD ha emitido un informe jurídico (0054/2023) para aclarar, desde la perspectiva de la normativa de protección de datos personales (RGPD) lo regulado en el artículo 5.1 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
El apartado 1 del citado artículo 5 de la Ley 2/2023 establece que el órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el responsable de la implantación del Sistema interno de información, previa consulta con la representación legal de las personas trabajadoras, y tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales.
Es decir, de la lectura de este primer apartado del citado precepto se podría interpretar que el responsable del tratamiento de los datos personales es el órgano de gobierno y no la propia organización.
En el informe jurídico la AEPD, tras analizar el nuevo régimen jurídico regulado por la Ley 2/2023, la responsabilidad patrimonial de los administradores regulada en el Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital y el concepto de responsable del tratamiento conforme al artículo 4.7. del RGPD, concluye:
Que la correcta interpretación del artículo 5 de la Ley 2/2023, desde la perspectiva de la protección de datos personales, requiere identificar como responsable del tratamiento a la organización obligada por la ley a disponer de un Sistema interno de información, sin perjuicio de que las decisiones necesarias para su correcta implantación deban adoptarse por el correspondiente órgano de gobierno.