[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2023\/11\/13\/canal-denuncias-rgpd-lopd\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2023\/11\/13\/canal-denuncias-rgpd-lopd\/","headline":"Cumplir con la protecci\u00f3n de datos (RGPD y LOPD) en el canal de denuncias","name":"Cumplir con la protecci\u00f3n de datos (RGPD y LOPD) en el canal de denuncias","description":"Explicamos c\u00f3mo cumplir con la normativa de protecci\u00f3n datos (RGPD y LOPD) en el canal de denuncia interno de la empresa \u2705","datePublished":"2023-11-13","dateModified":"2023-11-13","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/helena\/#Person","name":"Helena","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/helena\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/b023e7afa5522ddec000b8b3b8bf4f7c?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/b023e7afa5522ddec000b8b3b8bf4f7c?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2023\/11\/canal-denuncias-proteccion-datos.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2023\/11\/canal-denuncias-proteccion-datos.jpg","height":800,"width":1400},"url":"https:\/\/ayudaleyprotecciondatos.es\/2023\/11\/13\/canal-denuncias-rgpd-lopd\/","about":["EMPRESAS","LOPDGDD & RGPD"],"wordCount":1155,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } Los canales de denuncia implican el tratamiento de datos personales, por lo que es necesario que estos canales y sus responsables cumplan con lo dispuesto en la normativa de protecci\u00f3n de datos (RGPD y LOPD) respecto a dichos tratamientos. En este art\u00edculo explicamos todo lo relativo al canal de denuncias y protecci\u00f3n de datos.\u00bfC\u00f3mo cumplir con la protecci\u00f3n de datos en el canal de denuncias?Responsable del tratamientoLicitud del tratamientoInformaci\u00f3n a los interesadosAcceso a la informaci\u00f3nPlazo de conservaci\u00f3nMedidas de seguridadDerechos ARSULIPODesignaci\u00f3n del DPO\u00bfC\u00f3mo cumplir con la protecci\u00f3n de datos en el canal de denuncias?La LOPD respecto al canal de denuncias es muy breve, ya que en su art\u00edculo 24 solo se establece que los tratamientos de datos personales ser\u00e1n l\u00edcitos para garantizar la protecci\u00f3n de los denunciantes de infracciones normativas y que estos se regir\u00e1n por lo dispuesto en la propia ley y en el RGPD.Por lo tanto, a la hora de aplicar al canal de denuncias el RGPD y la LOPD, los responsables del tratamiento deber\u00e1n aplicar y tener en cuenta las mismas obligaciones y consideraciones que para cualquier tratamiento de datos personales, si bien atendiendo a las particulares que el deber de confidencialidad respecto a la identidad de los denunciantes establece la Ley 2\/2023 de protecci\u00f3n a los denunciantes y la Directiva Whistleblowing.A continuaci\u00f3n analizamos los aspectos m\u00e1s importantes para cumplir con la protecci\u00f3n de datos en el canal de denuncias.Responsable del tratamientoEl responsable del tratamiento del canal de denuncias es la entidad u organizaci\u00f3n titular del canal de denuncias. Si esta hubiera contratado los servicios de un gestor externo para la gesti\u00f3n del canal de denuncias, este tendr\u00e1 calidad de encargado del tratamiento y, por lo tanto, ser\u00e1 necesario suscribir con \u00e9l un contrato de encargo de tratamiento.Licitud del tratamientoLos tratamientos de datos personales en el canal de denuncias son l\u00edcitos, puesto que responden a la necesidad de cumplir con la Ley 2\/2023, tanto si hablamos de canales de denuncia internos como externos (como la Autoridad Independiente de Protecci\u00f3n al Denunciante); por lo tanto, la licitud del tratamiento se basa en:El cumplimiento de obligaci\u00f3n legal por parte del responsable (art. 6.1.c del RGPD).El cumplimiento de una misi\u00f3n realizada en inter\u00e9s p\u00fablico o en el ejercicio de poderes p\u00fablicos conferidos al responsable del tratamiento (art. 6.1.e del RGPD).Cuando la implantaci\u00f3n del canal de denuncias se hace de manera voluntaria, es decir, el responsable del tratamiento no est\u00e1 obligado por la Ley a tener un canal de denuncias, la licitud del tratamiento se basa en el inter\u00e9s leg\u00edtimo del responsable (art. 6.1.f. del RGPD).Informaci\u00f3n a los interesadosSe debe informar de la existencia del canal de denuncias a los miembros de la empresa o entidad p\u00fablica y a cualquier persona que, no formando parte de la empresa o entidad p\u00fablica, pueda hacer uso del canal de denuncias. As\u00ed mismo, puesto que la mayor\u00eda de canales de denuncia se habilitan a trav\u00e9s de plataformas digitales, se debe habilitar la correspondiente pol\u00edtica de privacidad para el canal de denuncias, en la que se informar\u00e1 de todo lo relativo al tratamiento de datos personales (licitud, finalidad, plazos de conservaci\u00f3n, identidad de responsable y encargado, etc.).As\u00ed mismo, cuando se reciba una denuncia, se deber\u00e1 proceder a informar a denunciantes, denunciados, testigos y terceros afectados del tratamiento de sus datos personales, dentro de un plazo razonable, que no deber\u00eda ser superior a un mes.La informaci\u00f3n que se suministrar\u00e1 a los interesados se har\u00e1 en base a lo establecido en los art\u00edculos 13 y 14 del RGPD.Acceso a la informaci\u00f3nPodr\u00e1n acceder a los datos personales tratados en el canal de denuncias:El Responsable del canal y las personas que haya designado para su gesti\u00f3n.El Responsable de recursos humanos (u organismo equivalente en la entidad p\u00fablica) cuando sea necesario llevar a cabo un procedimiento disciplinario.El responsable, si lo hubiera, de los servicios legales de la empresa o entidad p\u00fablica, cuando fuera necesario iniciar acciones legales.Los encargados de tratamiento (en su caso).El Delegado de Protecci\u00f3n de Datos (DPO).En caso de ser necesario, los datos personales recabados a trav\u00e9s del canal de denuncias podr\u00e1n cederse a la Autoridad judicial, el Ministerio Fiscal o la Autoridad administrativa competente.Plazo de conservaci\u00f3nLos datos personales del canal de denuncias podr\u00e1n conservarse durante el tiempo que sea necesario para llevar a cabo el procedimiento de valoraci\u00f3n, tramitaci\u00f3n y, en su caso, investigaci\u00f3n y resoluci\u00f3n de la denuncia. Este plazo no podr\u00e1 exceder los 10 a\u00f1os.Cuando la denuncia no prospere y hayan pasado tres meses, los datos personales deber\u00e1n suprimirse, salvo que sea necesario conservarlos en el registro para acreditar el cumplimiento de la norma, en cuyo caso, deber\u00e1n ser debidamente anonimizados.Medidas de seguridadEl responsable del tratamiento deber\u00e1 adoptar y aplicar las medidas de seguridad t\u00e9cnicas y organizativas necesarias para garantizar la confidencialidad, integridad y disponibilidad de los datos personales contenidos en las denuncias.Respecto a la confidencialidad, es especialmente importante, y as\u00ed lo establece la Ley 2\/2023, preservar y garantizar la confidencialidad de la identidad del denunciante, que no podr\u00e1 ser revelada a terceros, salvo consentimiento expreso de este o por motivos legales o judiciales.Derechos ARSULIPOLos interesados podr\u00e1n ejercer los derechos ARSULIPO respecto a los tratamientos de datos personales del canal de denuncias, pero con limitaciones para el derecho de acceso y el derecho de oposici\u00f3n.En cuanto al derecho de acceso, al tener que garantizar la confidencialidad del denunciante y su protecci\u00f3n frente a posibles represalias, el denunciado o cualquier tercero interesado no podr\u00e1n conocer la identidad del denunciante.Respecto al derecho de oposici\u00f3n, los denunciados no podr\u00e1n oponerse al tratamiento de sus datos por parte del responsable, puesto que es necesario para la tramitaci\u00f3n de la denuncia y, si corresponde, para su investigaci\u00f3n y resoluci\u00f3n.Designaci\u00f3n del DPOFinalmente, cualquier empresa que implante un canal de denuncias, ya sea por obligaci\u00f3n legal o de forma voluntaria, deber\u00e1 designar un DPO, si no lo tuviera ya nombrado en la empresa, que deber\u00e1 velar por el cumplimiento de la normativa de protecci\u00f3n de datos en la gesti\u00f3n del canal de denuncias.As\u00ed mismo, las empresas de gesti\u00f3n externa de canales de denuncia y los canales externos de denuncia (como la Autoridad Independiente de Protecci\u00f3n al Denunciante), deber\u00e1n tener un Delegado de Protecci\u00f3n de Datos."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2023\/11\/13\/canal-denuncias-rgpd-lopd\/#breadcrumbitem","name":"Cumplir con la protecci\u00f3n de datos (RGPD y LOPD) en el canal de denuncias"}}]}]