Ley de protección del informante
Desde el pasado 13 de marzo de 2023 se encuentra en vigor la Ley 2/2023, de 20 de febrero, más conocida como Ley de Protección del Informante, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Esta norma transpone al ordenamiento jurídico español de la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.
Múltiples son los análisis a realizar en relación con esta norma, por lo que aquí nos centraremos específicamente, y de manera breve, en un aspecto, sin duda, relacionado con los mecanismos que prevé esta ley, que no es otro que su conexión con los derechos y obligaciones de la normativa de protección de datos.
La Ley de Protección del Informante prevé la obligatoriedad en empresas de más de 50 trabajadores de implantar un Sistema interno de información a efectos de que los órganos de administración puedan conocer las denuncias presentadas por múltiples sujetos relacionados con la empresa, desde trabajadores a profesionales externos pasando por los accionistas de una sociedad.
Pues bien, la implantación de dichos sistemas implicará, casi con total seguridad, el tratamiento de datos personales adicionales, que pueden ir desde los de la propia persona denunciante, a la persona o personas denunciadas (si fuera el caso) hasta las personas autorizadas dentro de la organización para acceder a dicha información.
La implantación de estos sistemas también tiene otras consecuencias en materia de protección de datos como, por ejemplo, cuál es la base legitimadora del tratamiento de dichos datos, el tiempo de almacenamiento o la medida “estrella” de la Ley: la posibilidad que la identidad del denunciante se mantenga anónima.
Ley de protección del informante: ¿Qué se debe tener en cuenta en materia de protección de datos?
Políticas de Privacidad: deberás adaptar o redactar políticas de privacidad adecuadas al tipo de tratamiento relacionado con los sistemas internos de información, con el fin de que quien complete y remita una denuncia conozca el uso que se hará de la información.
Políticas de acceso a la información: únicamente están legitimados legalmente para tener acceso a las denuncias, realizar su seguimiento y, en su caso, cierre: el responsable del sistema, el responsable de recursos humanos, el responsable de los servicios jurídicos, los encargados del tratamiento designados (con las garantías de la normativa de protección de datos) y el delegado de protección de datos. Será conveniente analizar si las personas autorizadas deben aceptar compromisos de confidencialidad adicionales o complementarios a los que tengan ya firmados.
Eliminación de datos: no podrán tratarse datos personales no necesarios para la investigación de las conductas denunciables según la Ley; en aplicación del principio de proporcionalidad, únicamente podrán tratarse los datos personales necesarios para la investigación de los delitos amparados por la Ley, borrándolos de manera inmediata si este no fuera el caso.
Lo mismo aplica si en la información recibida se incluyeran datos especialmente sensibles (como de salud, orientación sexual, raza o similares). Adicionalmente, transcurridos 3 meses desde la recepción de la denuncia, sin que se hayan iniciado acciones de investigación, los datos deberán ser suprimidos del sistema. Finalmente, y como máximo, los datos personales no podrán mantenerse en el sistema más de 10 años, sean cuales fueren las circunstancias.
Derecho al anonimato: La Ley prevé el derecho a presentar denuncias anónimas y a que los Sistemas de información permitan técnicamente esta posibilidad. Sorprende, en este punto, la mención expresa a que la identidad del denunciante únicamente podrá facilitarse “a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora”. Digo que sorprende, pues un requisito de la anonimización es que sea imposible la identificación de la persona cuyos datos se han anonimizado, por lo que habrá que ver cómo se soluciona esto a la práctica.
Deberemos, pues, seguir de cerca la implantación práctica de esta ley y en qué forma las empresas afectadas van tomando medidas para cumplirla. Nos encontramos, sin duda, ante un texto legal con fuertes e importantes implicaciones en materia de protección de datos personales, por lo que la adopción de las medidas de la Ley de Protección del Informante debe ser observada también y de manera especial desde el punto de vista de la LOPD y el RGPD.
Si eres una empresa afectada por esta nueva ley y necesitas más información, ¡no dudes en contactar con nosotros!:
Información sobre protección de datos
Denominación social
LEGAL IT GLOBAL 2017, SLP
Finalidad
Prestar el servicio.
Envío del Boletín informativo.
Legitimización
Cumplimiento de la prestación del servicio.
Consentimiento.
Destinatarios
Tus datos no serán compartidos con ningún tercero, salvo aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.
Derechos
Puedes acceder, rectificar o suprimir los datos, así como ejercer los derechos que se mencionan en nuestra Política de Privacidad.
Más información
Consulta la Política de Privacidad.