La aprobación y entrada en vigor de la Ley 2/2023 de protección de denunciantes de corrupción o ley del canal de denuncias, vino acompañada de algunas novedades en materia de protección de datos. En este artículo repasamos esas novedades del canal de denuncias en protección de datos.
¿Cuáles son las novedades del canal de denuncias en protección de datos?
La disposición final séptima de la Ley 2/2023 modificó la redacción del artículo 24 de la LOPDGDD, que pasó de titularse «Sistemas de información de denuncias internos» a «Tratamiento de datos para la protección de las personas que informe sobre infracciones normativas».
Si bien, esta modificación, en la práctica, no supone un gran cambio, puesto que respecto a los tratamientos se remite a lo dispuesto en el RGPD, sí que hay que tener en cuenta algunas de las novedades del canal de denuncias establecidas en la Ley 2/2023 respecto la protección de datos de los denunciantes, los denunciados y cualquier otra persona mencionada en las denuncias, así como sobre las denuncias anónimas y la confidencialidad.
Obligaciones en protección de datos
En lo que respecta a las obligaciones en protección de datos en el canal de denuncias, realmente no hay grandes novedades, más allá de la obligación de designar un Delegado de Protección de Datos en las empresas y entidades públicas que implanten un canal de denuncias (ya sea obligatorio o voluntario), cómo veremos más adelante.
Pero en lo que respecta a cumplir con las obligaciones respecto a licitud de los tratamientos, el deber de informar a los interesados o medidas de seguridad que garanticen que solo el personal autorizado tendrá acceso a la información de las denuncias, cómo decíamos, el artículo 24 de la LOPDGDD nos remite al RGPD, tal y como ya explicamos en nuestro artículo sobre cómo cumplir con la protección de datos en el canal de denuncias.
Denuncias anónimas
Una de las principales novedades del canal de denuncias introducidas por la Ley 2/2023, es que se admiten las denuncias anónimas, es decir, que se da a las personas que quieren denunciar conductas o acciones irregulares en una empresa o entidad pública la posibilidad de hacer la denuncia sin identificarse (de ahí que en la Ley a las denuncias se las denomine como informaciones o comunicaciones y a los denunciantes informadores o alertadores, puesto que la denuncia, en nuestro ordenamiento jurídico, implica la identificación del denunciante, requisito que en el canal de denuncias ya no es necesario, salvo que en algún momento del proceso, especialmente si llega a judicializarse, sea necesario identificar al denunciante).
En lo que respecta a la protección de datos, significa que el sistema escogido para implantar el canal de denuncias debe permitir la presentación de denuncias anónimas, evitando recopilar cualquier dato o información que pudiera identificar al denunciante o, en su caso, aplicar medidas de anonimización.
Responsable del tratamiento
Respecto a quién es el responsable del tratamiento en el canal de denuncias, aunque ni la LOPDGDD ni la Ley 2/2023 hacen mención de ello, la AEPD aclaró esta duda en particular en una de sus comunicaciones.
De manera que el responsable del tratamiento en el canal de denuncias es la empresa o entidad pública a quien pertenece dicho canal. En caso de que se haya contratado el canal de denuncias con un servicio de gestión externa (permitido por la Ley), como puede ser una consultoría especializada o un despacho de abogados, la empresa o entidad pública deberá suscribir con este gestor externo un contrato de encargo de tratamiento.
Designación del Delegado de Protección de Datos
Si bien el artículo 34 de la Ley 2/2023 solo establece la obligatoriedad de designar un DPO para la Autoridad Independiente de Protección del Informante (A.A.I.) y las autoridades independientes que se creen en las comunidades autónomas, el preámbulo de la Ley recoge también que cualquier entidad obligada a tener un canal de denuncias, deberá nombrar un Delegado de Protección de Datos, así como los terceros encargados de su gestión.
Por lo tanto, cualquier empresa con 50 o más empleados y cualquier entidad pública, así como los servicios de gestión externa del canal de denuncias (consultorías, asesorías, despachos de abogados, etc.), deben designar obligatoriamente un DPO, para que les asista en el cumplimiento de la normativa de protección de datos a la hora de gestionar el propio canal de denuncias y la información personal recibida a través de este.
Limitación de los derechos de acceso y oposición
Dada la naturaleza del canal de denuncias, su función y las acciones que se pueden derivar de ello, existe una limitación en el ejercicio de los derechos de acceso y oposición para los denunciados y cualquier tercero interesado.
En lo que respecta al derecho de acceso, los denunciados y terceros interesados (como los que pueden aparecer mencionados en la denuncia), no podrán acceder a la identidad del denunciante (puesto que prima la confidencialidad que brinda la Ley para la protección de su identidad).
En cuanto al derecho de oposición, los denunciados no podrán oponerse al tratamiento de sus datos por parte del Responsable del canal y de aquellos que se encarguen de realizar, en su caso, la correspondiente investigación interna, puesto que es necesario para poder cumplir con las obligaciones establecidas en la Ley 2/2023 respecto a las denuncias recibidas.
Acceso a la información y plazos de conservación
La Ley 2/2023 también incorpora algunas novedades respecto a los plazos de conservación de la información de las denuncias.
Así, el artículo 26 establece la creación de un libro-registro de las denuncias recibidas y de las investigaciones internas que se hayan llevado a cabo. La conservación de este libro debe estar sujeta al deber de confidencialidad, por lo que solo el personal autorizado y, en su caso, la autoridad judicial, mediante petición razonada dentro del marco de un procedimiento judicial, podrán tener acceso a ella.
Así mismo, la Ley establece los plazos máximos de conservación para la información contenida en el libro-registro, que no podrá ser superior a 10 años.
En cuanto a las denuncias que no prosperen, estas deberán suprimirse pasados tres meses, mientras que los datos conservados para acreditar el cumplimiento de la Ley, deberán anonimizarse debidamente.
En definitiva, las novedades del canal de denuncias en protección de datos no son, cómo hemos visto, muchas, pero sí son importantes en lo que respecta al nombramiento del DPO, los plazos de conservación y la limitación de los derechos de acceso y oposición para los denunciados.
Escribe aquí tu comentario