No te pierdas nuestros contenidos
SuscribirmeA partir de mañana, día 1 de diciembre de 2023, las empresas privadas que cuenten con 50 trabajadores o más en plantilla deben disponer de sistemas internos de información, o en su caso adaptarlos, de acuerdo con lo establecido en la Ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, por la que se transpone la Directiva (UE) 2019/1937, más conocida como Directiva Whistleblowing.
Algunos de los aspectos fundamentales de la Ley 2/2023 ya han sido resumidos tanto en esta primera entrada, como en esta segunda entrada del blog, en las que detallamos aspectos relevantes de la Ley 2/2023 en materia de protección de datos.
En línea con las anteriores, en esta tercera entrada exponemos más cuestiones relevantes relacionadas con la protección de los datos personales y su normativa aplicable -más concretamente, el Reglamento General de Protección de Datos (RGPD), así como en la Ley orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)-, surgidas en el sector privado con el tratamiento de datos llevado a cabo mediante estos sistemas internos de información:
1. Compatibilidad del DPD como responsable del sistema
De acuerdo con el artículo 8 de la Ley 2/2023, las empresas deberán contar con la figura de responsable del sistema interno de información. El apartado 6 de este mismo artículo prevé, en aquellas empresas en las que ya existiera una persona responsable de la función de cumplimiento normativo o de políticas de integridad, que sea esta persona la designada como responsable del sistema, siempre que cumpla con los requisitos establecidos en la Ley 2/2023. Atendiendo a las exigencias del mencionado artículo 8, la cuestión que aquí se plantea es si el Delegado de Protección de Datos (DPD) de la empresa podría asumir también el rol de responsable del sistema.
Ya hemos visto como en otras situaciones, tanto la Agencia Española de Protección de Datos (AEPD), como otras autoridades de protección de datos europeas, se pronunciaba sobre la incompatibilidad de la figura del DPD con otros cargos dentro de la misma empresa.
A la espera de eventuales pronunciamientos por parte de estas mismas autoridades, podría considerarse compatible el cargo de responsable del sistema interno de información con el de DPD cuando los requisitos, condiciones y funciones del primero no sean incompatibles con los que la normativa de protección de datos exige al segundo. Esto incluye que la persona designada cumpla con los requisitos y condiciones de capacitación, formación y conocimientos, así como con la disposición de recursos técnicos, financieros y humanos suficientes para desempeñar ambos roles. Asimismo, las empresas deben valorar la existencia de conflictos de intereses que puedan comprometer a la persona designada para desempeñar los dos cargos.
2. Derechos de protección de datos del interesado
La gestión del ejercicio de derechos de protección de datos (contemplados en los artículos 15 a 22 del RGPD) de las personas cuyos datos son objeto de tratamiento mediante el sistema interno de información es otra de las cuestiones que más debate ha generado. Antes de cumplir con la solicitud del interesado, la empresa debería analizar con detenimiento si concurre alguna de las circunstancias previstas en la normativa aplicable por la que dicha solicitud pueda llegarse a ver limitada -especialmente cuando, de cumplirse con la misma, la investigación de los hechos pueda verse comprometida-.
Por ello, es importante que las empresas dispongan de procedimientos que expongan cómo deben actuar ante un eventual ejercicio de derechos de cualquiera de los interesados implicados en una comunicación al sistema interno de información. Adicionalmente, sin perjuicio de los derechos reconocidos en la normativa de protección de datos, la empresa deberá seguir garantizando los restantes derechos reconocidos en la Ley 2/2023 -por ejemplo, el derecho del informante a recibir un acuse de recibo de la comunicación realizada-.
3. Comunicaciones de mala fe
Otra de las dudas recurrentes que surgen en relación con los sistemas internos de información es el tratamiento que deben recibir las comunicaciones realizadas de mala fe, es decir, a sabiendas de su falsedad u omitiendo de forma dolosa detalles esenciales para atribuir injustamente unos hechos a terceros.
Sobre esta cuestión, aunque desactualizados en la mayoría de su contenido, tanto el Dictamen 1/2006 del Grupo de Trabajo del Artículo 29, como el Informe 2007/128 de la AEPD, ofrecen ciertas indicaciones que todavía pueden ser de utilidad. A este respecto, se plantea la posibilidad de que la persona afectada por una comunicación de mala fe pueda acceder a la información sobre el informante, para iniciar las acciones legales correspondientes, además de las acciones disciplinarias que la propia empresa decida adoptar.
De esta forma, salvo nuevos pronunciamientos de las autoridades competentes, se podría mantener la postura que defiende que la confidencialidad de las comunicaciones exigida en la Ley 2/2023 solamente cubre a los informantes que actúen de buena fe.
4. Implicaciones de la integración de canales
Tanto el artículo 5.2(d) de la Ley 2/2023, como en el artículo 7.1 de la misma ley, establece la obligación de que el sistema interno de información integre los distintos canales internos de información que pudieran establecerse dentro de la empresa. La integración de canales plantea una serie de cuestiones en relación con la protección de datos, algunas de ellas las explicamos a continuación.
En primer lugar, la integración de los canales en un grupo empresarial internacional, en el que una de las empresas destinatarias de las comunicaciones se encuentre fuera del Espacio Económico Europeo, podría conllevar una transferencia internacional de datos que deberá estar cubierta por una de las garantías adecuadas listadas en el RGPD.
En segundo lugar, no se puede descartar que la integración de los canales internos resulte en una situación de tratamiento a gran escala. Si fuera el caso, las empresas deberán plantearse la adopción de medidas técnicas y organizativas adecuadas al nivel del tratamiento, así como a la conveniencia de llevar a cabo evaluación de impacto de la protección de datos.
Por último, el proceso de integración de los distintos canales internos debe ir aparejado con la revisión de las cláusulas informativas existentes. Es muy probable que, como resultado de la integración de los canales, deba actualizarse la información de protección de datos que debe facilitarse a los interesados de acuerdo con lo dispuesto en el RGPD.
5. Evitar el uso de dark patterns
Los patrones oscuros (o dark patterns, en inglés) consisten en interfaces e implementaciones de experiencia de usuario destinadas a influenciar y manipular el comportamiento y las decisiones de las personas en su interacción con webs, apps y otras plataformas. Como expusimos en entradas anteriores de nuestro blog (ver aquí), esta práctica presenta una creciente preocupación entre las autoridades de protección de datos nacionales y europeas, puesto que incentivan a los interesados a tomar decisiones potencialmente perjudiciales para la protección de sus datos personales.
Las empresas que implementen un sistema interno de información deben ser conscientes de la postura de las autoridades en cuanto a los dark patterns, especialmente cuando el sistema permita realizar las comunicaciones y llevar su seguimiento a través de una plataforma online. En estas situaciones, las empresas deben evitar interfaces que confundan a los interesados o les hagan creer que deben facilitar más información de la que les gustaría.
Esta publicación forma parte de una serie más amplia de entradas, en las que profundizamos en los aspectos más significativos de la protección de datos en relación con la Ley 2/2023.
No te pierdas nuestros contenidos
Suscribirme