Como no podía ser de otro modo, el Proyecto de Ley aprobado por el Consejo de Ministros en su sesión del pasado día 13 de febrero, que regula la protección de las personas que informen sobre infracciones que vulneren el ordenamiento europeo y nacional que permitirá trasponer la Directiva (UE) 2019/1937, en lo que España lleva ya un importante retraso, contiene abundantes referencias a la Protección de datos personales.
Recogemos a continuación algunas orientaciones sobre el contenido del Proyecto de Ley en lo que afecta a la protección de datos personales.
Régimen jurídico
El régimen jurídico del tratamiento de los datos personales se regirá por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en la Ley Orgánica 3/2018, de 5 de diciembre, y la Ley Orgánica 7/2021, de 26 de mayo de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
Responsables y encargados del tratamiento
Se considera Responsable del tratamiento a la entidad u organismo obligado a la implantación del sistema de información.
EL tercero externo que gestione el sistema tendrá la consideración de encargado de tratamiento.
Legitimación e información a interesados, empleados y terceros. Derechos de oposición.
Se consideran lícitos los tratamientos de datos personales necesarios para la aplicación de la Ley de Protección de las personas que informen de infracciones normativas y de lucha contra la corrupción.
En el supuesto de tratamientos de comunicación interna la base de legitimación será el cumplimiento de una obligación legal, cuando sea obligatorio disponer de un sistema interno de información (artículo 6.1.c RGPD) y si no fuese obligatorio, por ser necesario para el cumplimiento de una misión realizada en interés público. (artículo 6.1.e RGPD).
El tratamiento de datos basado en una revelación pública estará también legitimado en base a la necesidad de cumplimiento de una misión realizada en interés público. (artículo 6.1.e RGPD).
Si se tratan categorías especiales de datos por razones de un interés público esencial se podrá realizar en base al artículo 9.2.g RGPD. En caso contrario deberá procederse a su inmediata supresión.
Cuando los datos se obtengan del interesado se le informará conforme el articulo 13 del RGPD.
Los empleados y terceros deberán ser informados acerca del tratamiento de los datos personales.
Cuando la persona investigada ejerza el derecho de oposición al tratamiento de sus datos personales se entenderá que existen motivos legítimos imperiosos que legitiman continuar con dicho tratamiento, tal como permite el artículo 21.1 del RGPD.
Límites de acceso, garantías, conservación de datos y seguridad
Se limita el acceso a los datos personales del Sistema Interno de Información a una serie de perfiles y en las condiciones que se establecen.
Se permite el tratamiento e incluso la comunicación de los datos cuando sea necesario para la tramitación de procedimientos sancionadores.
Los datos que no sean necesarios para el conocimiento e investigación de las acciones u omisiones que entren dentro del ámbito de aplicación de la Ley, se suprimirán de forma inmediata.
El Sistema interno de información deberá estar diseñado (“privacy by design”) garantizando la protección de los datos personales.
La gestión del sistema interno por un tercero exigirá que éste ofrezca garantías en la protección de los datos personales.
Los datos objeto de tratamiento solo podrán conservarse dentro del sistema de informaciones el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación y en todo caso, transcurridos tres meses desde la recepción deberán eliminarse del sistema de informaciones.
Los sistemas internos de información deberán contar con medidas técnicas y organizativas adecuadas para preservar la identidad del informante y de las personas afectadas.
La identidad del informante solo podrá ser comunicada a la Autoridad judicial, Ministerio Fiscal o Autoridad administrativa y se explicará al informante los motivos de la revelación.
Durante la tramitación del expediente deberán protegerse los datos de las personas afectadas.
Información sobe canales de denuncia en páginas web. Delegados de Protección de Datos.
La página web de los sujetos obligados a la implantación de un sistema de información deberá hacer constar en su página de inicio y de forma separada e identificable, la información sobre el canal y sobre el tratamiento de los datos personales que en el mismo se realiza.
Los datos personales relativos a informaciones recibidas y a las investigaciones internas no podrán conservarse por un periodo superior a diez años en el Registro de Informaciones que deben llevar todos los sujetos obligados.
Las entidades obligadas a disponer de un sistema interno de información, así como los terceros externos que en su caso lo gestionen, deberán nombrar un Delegado de Protección de Datos competente para todos los tratamientos.
Por último, la Disposición Final Cuarta del proyecto de Ley modifica la Ley Orgánica 3/2018 LOPDyGDD en su artículo 24 de forma que queda referido a los tratamientos de datos personales necesarios para garantizar la protección de las personas que informen sobre infracciones normativas (ahora se refiere a actos o conductas que pudieran ser contrarias a la normativa general o sectorial que le fuera aplicable).
©Olga Guidotti. Legal Compliance
