[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2023\/11\/21\/canal-denuncias-dpo\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2023\/11\/21\/canal-denuncias-dpo\/","headline":"El Canal de Denuncias y el DPO","name":"El Canal de Denuncias y el DPO","description":"\u00bfCu\u00e1l es la relaci\u00f3n del DPO y el canal de denuncias? \u00bfDeben las entidades obligadas a implantar el canal de denuncias nombrar un DPO? \u2705","datePublished":"2023-11-21","dateModified":"2023-11-21","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/helena\/#Person","name":"Helena","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/helena\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/b023e7afa5522ddec000b8b3b8bf4f7c?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/b023e7afa5522ddec000b8b3b8bf4f7c?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2023\/11\/dpo-canal-denuncias.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2023\/11\/dpo-canal-denuncias.jpg","height":800,"width":1400},"url":"https:\/\/ayudaleyprotecciondatos.es\/2023\/11\/21\/canal-denuncias-dpo\/","about":["LOPDGDD & RGPD"],"wordCount":1216,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } Desde antes de la entrada en vigor de la Ley 2\/2023, de protecci\u00f3n de denunciantes de corrupci\u00f3n, exist\u00edan dudas respecto a la obligaci\u00f3n o no de tener que nombrar un Delegado de Protecci\u00f3n de Datos (DPO) en aquellas entidades y organizaciones que tuvieran que implantar el canal de denuncias. En este art\u00edculo despejaremos estas dudas y veremos cu\u00e1l es el papel del DPO en el canal de denuncias.\u00bfObliga la Ley del canal de denuncias a nombrar un DPO?La Ley 2\/2023, tambi\u00e9n conocida como la ley del canal de denuncias, recoge expl\u00edcitamente en su pre\u00e1mbulo que:\u00abSe exige que las entidades obligadas a disponer de un Sistema interno de informaci\u00f3n, los terceros externos que su caso lo gestionen y la Autoridad Independiente de Protecci\u00f3n del Denunciante, A.A.I., as\u00ed como las que en su caso se constituyan, cuenten con Delegado de Protecci\u00f3n de Datos\u00bb.Por lo tanto, s\u00ed, la Ley del canal de denuncias establece la obligaci\u00f3n de nombrar un DPO en aquellas entidades y organizaciones que est\u00e9n obligadas a implantar un canal de denuncias, as\u00ed como para la A.A.I. y para aquellas empresas que funcionen como gestores externos del canal de denuncias (por ejemplo, consultor\u00edas especializadas o despachos de abogados).En la pr\u00e1ctica, esto significa que tendr\u00e1n que nombrar un DPO al implantar el canal de denuncias (en caso de que no exista ya esta figura en la entidad):Empresas de 50 o m\u00e1s empleados.Empresas con un volumen de negocios anual superior a 10 millones de euros.Empresas que, con independencia de su n\u00famero de trabajadores, entren en el \u00e1mbito de los actos de la UE en materia de:Servicios, productos y mercados financierosSeguridad del transporteProtecci\u00f3n del medio ambientePartidos pol\u00edticos.Sindicatos.Patronales y fundaciones creadas por partidos pol\u00edticos o sindicatos, cuando reciban o gestionen fondos p\u00fablicos.La Administraci\u00f3n General del Estado, las Administraciones de las comunidades aut\u00f3nomas y Ciudades con Estatuto de Autonom\u00eda y las entidades que integran la Administraci\u00f3n Local.Los organismos y entidades p\u00fablicas vinculadas o dependientes de alguna Administraci\u00f3n P\u00fablica, y las asociaciones y corporaciones en las que participen Administraciones y organismos p\u00fablicos.Autoridades Administrativas Independientes y las entidades gestoras y servicios comunes de la Seguridad Social.Las universidades p\u00fablicas.Las corporaciones de Derecho p\u00fablico.Las fundaciones del sector p\u00fablico.El DPO podr\u00e1 ser nombrado siguiendo las mismas directrices que establecen el RGPD y la LOPDGDD para su nombramiento, es decir, que deber\u00e1 ser una persona con conocimientos jur\u00eddicos y t\u00e9cnicos, as\u00ed como sobre protecci\u00f3n de datos suficientes y contar con la experiencia necesaria para desempe\u00f1ar las funciones de su cargo (no siendo necesario estar certificado como DPO).El DPO deber\u00e1 tener independencia y autonom\u00eda y no tener posibles conflictos de intereses. En ese sentido, la normativa de protecci\u00f3n de datos admite el nombramiento de un DPO externo, servicio que puede contratarse a trav\u00e9s de una consultor\u00eda especializada en protecci\u00f3n de datos.Funciones del DPO en el canal de denunciasAparte de las funciones propias del DPO establecidas en los art\u00edculos 36 y 37 de la LOPDGDD, respecto al canal de denuncias, el DPO tambi\u00e9n deber\u00e1 desarrollar las siguientes actividades:Participar en la elaboraci\u00f3n y definici\u00f3n de los principios generales que regir\u00e1n el funcionamiento del canal de denuncias.Determinar las actividades de tratamiento derivadas del canal de denuncias.Analizar y comprobar que las actividades de tratamiento del canal de denuncias cumplen con la normativa de protecci\u00f3n de datos.Informar, asesorar y hacer recomendaciones al responsable o encargado del tratamiento; respecto al canal de denuncias, el responsable es la entidad u organizaci\u00f3n que ha implantado el canal, mientras que el responsable ser\u00e1, en su caso, el servicio de gesti\u00f3n externa contratado por el responsable.Supervisar el registro de actividades de tratamiento del canal de denuncias.Asesorar respecto a la aplicaci\u00f3n de la protecci\u00f3n de datos desde el dise\u00f1o y por defecto.Asesorar sobre:La realizaci\u00f3n o no de evaluaciones de impacto en protecci\u00f3n de datos y qu\u00e9 \u00e1reas o tratamientos deben someterse a una auditor\u00eda de protecci\u00f3n de datos interna o externa.Qu\u00e9 metodolog\u00eda seguir para realizar la evaluaci\u00f3n de impacto.Si la evaluaci\u00f3n de impacto debe realizarse de manera interna o externa.Qu\u00e9 medidas t\u00e9cnicas y organizativas de seguridad aplicar para mitigar los riesgos detectados en la evaluaci\u00f3n de impacto.Determinar si las conclusiones de la evaluaci\u00f3n de impacto son conformes al RGPD.Asesorar y formar sobre protecci\u00f3n de datos al personal encargado del canal de denuncias.Intervenir en caso de reclamaci\u00f3n ante la AEPD.Cabe se\u00f1alar que el DPO es una de las personas autorizadas para acceder a la informaci\u00f3n contenida en el canal de denuncias, dado que dicho acceso es necesario para poder desempe\u00f1ar sus funciones.\u00bfPuede el DPO y el Responsable del canal ser la misma persona?La Ley 2\/2023 contempla la designaci\u00f3n de un Responsable del sistema interno de informaci\u00f3n o canal de denuncias, y aunque s\u00ed contempla que este cargo pueda desempe\u00f1arlo el compliance officer, si ya existe este puesto en la entidad, no hace menci\u00f3n sobre la compatibilidad o no del cargo del DPO con el del Responsable del canal.En ese sentido, debemos atender a la respuesta a una consulta planteada a este respecto a la AEPD; esta considera que deber\u00eda existir una divisi\u00f3n entre las funciones del Responsable del canal y del DPO, es decir, que no deber\u00edan ser la misma persona, puesto que de esa manera se garantiza la independencia del DPO y se evitan posibles conflictos de intereses.Solo se admitir\u00eda que ambos cargos los desempe\u00f1ase una misma persona en aquellas entidades de menor tama\u00f1o que carezcan de los recursos necesarios para nombrar ambas figuras de manera independiente, siempre y cuando se tomen las medidas correspondientes para garantizar la independencia y la ausencia de conflicto de inter\u00e9s. Si bien, es recomendable que se opte por contratar los servicios de un DPO externo (ya que el Responsable del canal siempre debe ser un miembro interno de la entidad).En definitiva, la figura del DPO para el canal de denuncias no solo es importante, ya que ser\u00e1 quien supervise los tratamientos de datos derivados de la gesti\u00f3n del canal de denuncias y las propias denuncias, as\u00ed como de los procesos de investigaci\u00f3n interna, sino que tambi\u00e9n es obligatoria para aquellas entidades que implanten un sistema interno de informaci\u00f3n en los t\u00e9rminos que establece la Ley 2\/2023."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2023\/11\/21\/canal-denuncias-dpo\/#breadcrumbitem","name":"El Canal de Denuncias y el DPO"}}]}]