Desde antes de la entrada en vigor de la Ley 2/2023, de protección de denunciantes de corrupción, existían dudas respecto a la obligación o no de tener que nombrar un Delegado de Protección de Datos (DPO) en aquellas entidades y organizaciones que tuvieran que implantar el canal de denuncias. En este artículo despejaremos estas dudas y veremos cuál es el papel del DPO en el canal de denuncias.
¿Obliga la Ley del canal de denuncias a nombrar un DPO?
La Ley 2/2023, también conocida como la ley del canal de denuncias, recoge explícitamente en su preámbulo que:
«Se exige que las entidades obligadas a disponer de un Sistema interno de información, los terceros externos que su caso lo gestionen y la Autoridad Independiente de Protección del Denunciante, A.A.I., así como las que en su caso se constituyan, cuenten con Delegado de Protección de Datos».
Por lo tanto, sí, la Ley del canal de denuncias establece la obligación de nombrar un DPO en aquellas entidades y organizaciones que estén obligadas a implantar un canal de denuncias, así como para la A.A.I. y para aquellas empresas que funcionen como gestores externos del canal de denuncias (por ejemplo, consultorías especializadas o despachos de abogados).
En la práctica, esto significa que tendrán que nombrar un DPO al implantar el canal de denuncias (en caso de que no exista ya esta figura en la entidad):
- Empresas de 50 o más empleados.
- Empresas con un volumen de negocios anual superior a 10 millones de euros.
- Empresas que, con independencia de su número de trabajadores, entren en el ámbito de los actos de la UE en materia de:
- Servicios, productos y mercados financieros
- Seguridad del transporte
- Protección del medio ambiente
- Partidos políticos.
- Sindicatos.
- Patronales y fundaciones creadas por partidos políticos o sindicatos, cuando reciban o gestionen fondos públicos.
- La Administración General del Estado, las Administraciones de las comunidades autónomas y Ciudades con Estatuto de Autonomía y las entidades que integran la Administración Local.
- Los organismos y entidades públicas vinculadas o dependientes de alguna Administración Pública, y las asociaciones y corporaciones en las que participen Administraciones y organismos públicos.
- Autoridades Administrativas Independientes y las entidades gestoras y servicios comunes de la Seguridad Social.
- Las universidades públicas.
- Las corporaciones de Derecho público.
- Las fundaciones del sector público.
El DPO podrá ser nombrado siguiendo las mismas directrices que establecen el RGPD y la LOPDGDD para su nombramiento, es decir, que deberá ser una persona con conocimientos jurídicos y técnicos, así como sobre protección de datos suficientes y contar con la experiencia necesaria para desempeñar las funciones de su cargo (no siendo necesario estar certificado como DPO).
El DPO deberá tener independencia y autonomía y no tener posibles conflictos de intereses. En ese sentido, la normativa de protección de datos admite el nombramiento de un DPO externo, servicio que puede contratarse a través de una consultoría especializada en protección de datos.
Funciones del DPO en el canal de denuncias
Aparte de las funciones propias del DPO establecidas en los artículos 36 y 37 de la LOPDGDD, respecto al canal de denuncias, el DPO también deberá desarrollar las siguientes actividades:
- Participar en la elaboración y definición de los principios generales que regirán el funcionamiento del canal de denuncias.
- Determinar las actividades de tratamiento derivadas del canal de denuncias.
- Analizar y comprobar que las actividades de tratamiento del canal de denuncias cumplen con la normativa de protección de datos.
- Informar, asesorar y hacer recomendaciones al responsable o encargado del tratamiento; respecto al canal de denuncias, el responsable es la entidad u organización que ha implantado el canal, mientras que el responsable será, en su caso, el servicio de gestión externa contratado por el responsable.
- Supervisar el registro de actividades de tratamiento del canal de denuncias.
- Asesorar respecto a la aplicación de la protección de datos desde el diseño y por defecto.
- Asesorar sobre:
- La realización o no de evaluaciones de impacto en protección de datos y qué áreas o tratamientos deben someterse a una auditoría de protección de datos interna o externa.
- Qué metodología seguir para realizar la evaluación de impacto.
- Si la evaluación de impacto debe realizarse de manera interna o externa.
- Qué medidas técnicas y organizativas de seguridad aplicar para mitigar los riesgos detectados en la evaluación de impacto.
- Determinar si las conclusiones de la evaluación de impacto son conformes al RGPD.
- Asesorar y formar sobre protección de datos al personal encargado del canal de denuncias.
- Intervenir en caso de reclamación ante la AEPD.
Cabe señalar que el DPO es una de las personas autorizadas para acceder a la información contenida en el canal de denuncias, dado que dicho acceso es necesario para poder desempeñar sus funciones.
¿Puede el DPO y el Responsable del canal ser la misma persona?
La Ley 2/2023 contempla la designación de un Responsable del sistema interno de información o canal de denuncias, y aunque sí contempla que este cargo pueda desempeñarlo el compliance officer, si ya existe este puesto en la entidad, no hace mención sobre la compatibilidad o no del cargo del DPO con el del Responsable del canal.
En ese sentido, debemos atender a la respuesta a una consulta planteada a este respecto a la AEPD; esta considera que debería existir una división entre las funciones del Responsable del canal y del DPO, es decir, que no deberían ser la misma persona, puesto que de esa manera se garantiza la independencia del DPO y se evitan posibles conflictos de intereses.
Solo se admitiría que ambos cargos los desempeñase una misma persona en aquellas entidades de menor tamaño que carezcan de los recursos necesarios para nombrar ambas figuras de manera independiente, siempre y cuando se tomen las medidas correspondientes para garantizar la independencia y la ausencia de conflicto de interés. Si bien, es recomendable que se opte por contratar los servicios de un DPO externo (ya que el Responsable del canal siempre debe ser un miembro interno de la entidad).
En definitiva, la figura del DPO para el canal de denuncias no solo es importante, ya que será quien supervise los tratamientos de datos derivados de la gestión del canal de denuncias y las propias denuncias, así como de los procesos de investigación interna, sino que también es obligatoria para aquellas entidades que implanten un sistema interno de información en los términos que establece la Ley 2/2023.