Los canales de denuncia implican el tratamiento de datos personales, por lo que es necesario que estos canales y sus responsables cumplan con lo dispuesto en la normativa de protección de datos (RGPD y LOPD) respecto a dichos tratamientos. En este artículo explicamos todo lo relativo al canal de denuncias y protección de datos.
¿Cómo cumplir con la protección de datos en el canal de denuncias?
La LOPD respecto al canal de denuncias es muy breve, ya que en su artículo 24 solo se establece que los tratamientos de datos personales serán lícitos para garantizar la protección de los denunciantes de infracciones normativas y que estos se regirán por lo dispuesto en la propia ley y en el RGPD.
Por lo tanto, a la hora de aplicar al canal de denuncias el RGPD y la LOPD, los responsables del tratamiento deberán aplicar y tener en cuenta las mismas obligaciones y consideraciones que para cualquier tratamiento de datos personales, si bien atendiendo a las particulares que el deber de confidencialidad respecto a la identidad de los denunciantes establece la Ley 2/2023 de protección a los denunciantes y la Directiva Whistleblowing.
A continuación analizamos los aspectos más importantes para cumplir con la protección de datos en el canal de denuncias.
Responsable del tratamiento
El responsable del tratamiento del canal de denuncias es la entidad u organización titular del canal de denuncias. Si esta hubiera contratado los servicios de un gestor externo para la gestión del canal de denuncias, este tendrá calidad de encargado del tratamiento y, por lo tanto, será necesario suscribir con él un contrato de encargo de tratamiento.
Licitud del tratamiento
Los tratamientos de datos personales en el canal de denuncias son lícitos, puesto que responden a la necesidad de cumplir con la Ley 2/2023, tanto si hablamos de canales de denuncia internos como externos (como la Autoridad Independiente de Protección al Denunciante); por lo tanto, la licitud del tratamiento se basa en:
- El cumplimiento de obligación legal por parte del responsable (art. 6.1.c del RGPD).
- El cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (art. 6.1.e del RGPD).
Cuando la implantación del canal de denuncias se hace de manera voluntaria, es decir, el responsable del tratamiento no está obligado por la Ley a tener un canal de denuncias, la licitud del tratamiento se basa en el interés legítimo del responsable (art. 6.1.f. del RGPD).
Información a los interesados
Se debe informar de la existencia del canal de denuncias a los miembros de la empresa o entidad pública y a cualquier persona que, no formando parte de la empresa o entidad pública, pueda hacer uso del canal de denuncias. Así mismo, puesto que la mayoría de canales de denuncia se habilitan a través de plataformas digitales, se debe habilitar la correspondiente política de privacidad para el canal de denuncias, en la que se informará de todo lo relativo al tratamiento de datos personales (licitud, finalidad, plazos de conservación, identidad de responsable y encargado, etc.).
Así mismo, cuando se reciba una denuncia, se deberá proceder a informar a denunciantes, denunciados, testigos y terceros afectados del tratamiento de sus datos personales, dentro de un plazo razonable, que no debería ser superior a un mes.
La información que se suministrará a los interesados se hará en base a lo establecido en los artículos 13 y 14 del RGPD.
Acceso a la información
Podrán acceder a los datos personales tratados en el canal de denuncias:
- El Responsable del canal y las personas que haya designado para su gestión.
- El Responsable de recursos humanos (u organismo equivalente en la entidad pública) cuando sea necesario llevar a cabo un procedimiento disciplinario.
- El responsable, si lo hubiera, de los servicios legales de la empresa o entidad pública, cuando fuera necesario iniciar acciones legales.
- Los encargados de tratamiento (en su caso).
- El Delegado de Protección de Datos (DPO).
En caso de ser necesario, los datos personales recabados a través del canal de denuncias podrán cederse a la Autoridad judicial, el Ministerio Fiscal o la Autoridad administrativa competente.
Plazo de conservación
Los datos personales del canal de denuncias podrán conservarse durante el tiempo que sea necesario para llevar a cabo el procedimiento de valoración, tramitación y, en su caso, investigación y resolución de la denuncia. Este plazo no podrá exceder los 10 años.
Cuando la denuncia no prospere y hayan pasado tres meses, los datos personales deberán suprimirse, salvo que sea necesario conservarlos en el registro para acreditar el cumplimiento de la norma, en cuyo caso, deberán ser debidamente anonimizados.
Medidas de seguridad
El responsable del tratamiento deberá adoptar y aplicar las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, integridad y disponibilidad de los datos personales contenidos en las denuncias.
Respecto a la confidencialidad, es especialmente importante, y así lo establece la Ley 2/2023, preservar y garantizar la confidencialidad de la identidad del denunciante, que no podrá ser revelada a terceros, salvo consentimiento expreso de este o por motivos legales o judiciales.
Derechos ARSULIPO
Los interesados podrán ejercer los derechos ARSULIPO respecto a los tratamientos de datos personales del canal de denuncias, pero con limitaciones para el derecho de acceso y el derecho de oposición.
En cuanto al derecho de acceso, al tener que garantizar la confidencialidad del denunciante y su protección frente a posibles represalias, el denunciado o cualquier tercero interesado no podrán conocer la identidad del denunciante.
Respecto al derecho de oposición, los denunciados no podrán oponerse al tratamiento de sus datos por parte del responsable, puesto que es necesario para la tramitación de la denuncia y, si corresponde, para su investigación y resolución.
Designación del DPO
Finalmente, cualquier empresa que implante un canal de denuncias, ya sea por obligación legal o de forma voluntaria, deberá designar un DPO, si no lo tuviera ya nombrado en la empresa, que deberá velar por el cumplimiento de la normativa de protección de datos en la gestión del canal de denuncias.
Así mismo, las empresas de gestión externa de canales de denuncia y los canales externos de denuncia (como la Autoridad Independiente de Protección al Denunciante), deberán tener un Delegado de Protección de Datos.