Protección de datos personales en el Anteproyecto de Ley Whistleblowing

Ref.:      La protección de datos personales en el Anteproyecto de Ley reguladora de la protección de personas que informen sobre infracciones normativas y lucha contra la corrupción.

El Anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción por la que se transpone la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del derecho de la Unión (en adelante, el Anteproyecto) dedica, en su Título VI, un compendio de artículos destinados a regular el tratamiento de los datos personales concernientes a las comunicaciones interpuestas a través de los Sistemas de Información. Por esta razón, a continuación se exponen algunos de los aspectos más relevantes que hemos apreciado sobre esta materia:

  1. Legislación aplicable

La regulación del tratamiento de los datos personales obtenidos a través de las actuaciones reguladas en el Anteproyecto quedarán sujetas a las estipulaciones previstas en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos (RGPD)) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (LOPDGDD).

A su vez, dicho tratamiento estará sujeto a la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

  1. Legitimación del tratamiento de datos personales

Con carácter general, todo tratamiento de datos personales necesario para la aplicación del Anteproyecto será lícito. No obstante, la norma recoge una serie de matices que se desarrollan en la siguiente tabla:

3. Del deber de informar y el ejercicio de derechos

    Los responsables del tratamiento deberán facilitar la información prevista en el artículo 13 del RGPD y 11 de la LOPDGDD, cuando los datos personales sean obtenidos directamente de los interesados.

    Del mismo modo, deberán informar del ejercicio de derechos regulados en los artículos 15 a 22 del RGPD a los interesados. No obstante, atendiendo a la naturaleza de las actuaciones, en el caso del ejercicio del derecho de oposición se presumirá, salvo prueba en contrario, la existencia de motivos legítimos e imperiosos que requieran del tratamiento de los datos personales.

    4. Acceso a los datos personales

      Dentro del ejercicio de sus competencias y funciones, tendrán acceso a los datos personales concernientes a la gestión y tramitación del material proporcionado a través de los Sistemas de Información las siguientes figuras:

      5. Plazo de conservación de denuncias

        El artículo 32.4 del Anteproyecto regula el plazo de conservación de las comunicaciones, indicando textualmente que transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a la supresión de los datos personales. Por otro lado, el artículo 24. 4 de la LOPDGDD recoge que transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias.

        Partiendo de lo anterior, la Agencia Española de Protección de Datos (AEPD) entiende que el artículo 24.4 de la LOPDGDD se refiere a que no podrán conservarse los datos personales en el propio sistema de información de denuncias internas tras transcurrir el plazo de tres meses desde que dichos datos fueron introducidos, sin perjuicio de que los mismos puedan pasar a integrarse a los sistemas propios de los órganos de cumplimiento o gestión de recursos humanos cuando la denuncia resulte fundada o sea necesario una investigación más precisa.

        6. El Delegado de Protección de Datos

          La figura del Delegado de Protección de Datos (DPD) será obligatoria para aquellas entidades que tengan el deber de disponer de un sistema interno de comunicaciones. Así como, para los terceros externos que, en su caso, gestionen dichas comunicaciones cuando no tuvieran obligación previa de designar a un DPD.

          7. Conclusiones

            En resumidas cuentas, para garantizar un correcto tratamiento de los datos personales obtenidos a través del uso de los Sistemas de Información no solo habrá que atender al articulado previsto en el Anteproyecto, sino que, también, será necesario cumplir con el resto de la normativa vigente en materia de protección de datos.

            Ello supone que, para garantizar una información adecuada y suficiente a los interesados sobre el tratamiento de sus datos personales, deberán elaborarse e implantarse medidas que procuren la privacidad y confidencialidad de las partes implicadas en estos procesos.