Ley de Protección de Informantes y protección de datos (I)

Desde el pasado 13 de junio, las empresas privadas con más de 249 personas trabajadoras en plantilla deben disponer de sistemas internos de información, o en su caso adaptarlos, de acuerdo con lo establecido en la Ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, por la que se transpone la Directiva (UE) 2019/1937, más conocida como Directiva Whistleblowing.

Las principales novedades de esta legislación fueron ya resumidas en el Legal Flash, preparado por el Área de Conocimiento e Innovación de Cuatrecasas, en el que se recogieron los aspectos fundamentales de la norma, como a qué empresas afecta; su alcance; contenido y requisitos de los Sistemas; quién ha de responsabilizarse de su gestión; y qué protección se otorga a los informantes.

En un entorno empresarial cada vez más complejo, los sistemas internos de información desempeñan un papel esencial en la detección temprana de conductas inapropiadas y en la protección de los derechos y la seguridad de los informantes. Sin embargo, el tratamiento de datos personales llevado a cabo con el uso de estos sistemas es una cuestión que no puede pasar inadvertida y que debe contar con todas las garantías establecidas en la normativa de protección de datos aplicable, más concretamente, en el Reglamento General de Protección de Datos (RGPD), así como en la Ley orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

En esta entrada exponemos algunas de las principales cuestiones relacionadas con la protección de datos que surgen en el contexto de los tratamientos realizados a través de estos sistemas internos de información en el sector privado:

1.   Políticas y procedimientos internos. Entre las obligaciones que la Ley 2/2023 establece, se encuentra la necesidad de disponer de una política o estrategia que enuncie los principios generales del sistema interno de información, además de estar diseñado, establecido y gestionado de forma segura y, en particular, que se predisponga de garantías para la protección de los informantes.

Desde la óptica de la protección de datos personales, lo anterior guarda una estrecha relación con la normativa de protección de datos, especialmente con el cumplimiento de los principios de protección de datos del RGPD. En la medida que sea necesario, las empresas deberán publicitar el sistema de información, así como desarrollar o actualizar sus códigos, políticas y procedimientos previendo en todo momento el cumplimiento de dichos principios, así como la sensibilidad de los datos personales que pueden ser objeto de tratamiento con este Sistema.

2.   Transparencia para con el informante. En línea con lo anterior, las empresas también deberán dar cumplimiento al deber de transparencia para con los informantes que decidan realizar una comunicación a través del sistema interno. A tal efecto, deberá facilitarse información clara y precisa sobre el tratamiento de datos que las empresas podrán llevar a cabo con sus datos, tal y como se exige en el Capítulo III del RGPD. Las empresas también deberán prever cómo y cuándo dar esta información, atendiendo a las características propias de cada sistema y a las distintas modalidades de comunicaciones que pueden recibir.

3.   Control de las categorías de datos objeto de tratamiento. Las empresas deben tener presente en todo momento las distintas categorías de datos objeto de tratamiento con el sistema interno de información. En este sentido, destaca la obligación del artículo 32.2 de la Ley 2/2023 que, con carácter general, obliga a suprimir inmediatamente las categorías especiales de datos que puedan recogerse con el sistema y que se encuentran enumeradas en el artículo 9.1 del RGPD. Sin perjuicio de lo anterior, podrán existir situaciones en las que el tratamiento de estas categorías especiales también será lícito (p. ej. por razones de un interés público esencial, como se indica en el artículo 30.5 de la Ley 2/2023).

4.   Base jurídica aplicable. El tratamiento de los datos personales se presume lícito cuando concurra al menos una de las bases jurídicas enumeradas en el artículo 6.1 del RGPD. A tal efecto, cuando las empresas en el sector privado estén obligadas a disponer del sistema interno de información, el tratamiento de datos personales se considera lícito al ser necesario para el cumplimiento de una obligación legal (artículo 6.1.c) del RGPD). Por otro lado, cuando el sistema no sea obligatorio, pero voluntariamente se decida crear uno, el tratamiento también se presume válido al ser necesario para la satisfacción del interés público (artículo 6.1.e) del RGPD).

5.   Actualización del registro de las actividades de tratamiento. De conformidad con el artículo 30 del RGPD, las empresas deben disponer de un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Con toda probabilidad, el establecimiento de los sistemas internos de información, o su actualización a la nueva norma, implicará llevar a cabo una revisión y actualización de este registro, incluyendo, cuando sea necesario, una nueva actividad de tratamiento en aquellos registros de empresas que acaben de implantar un sistema de información con motivo de la Ley 2/2023. 

6.   Designación de un responsable del sistema interno de información. El artículo 8 de la Ley 2/2023 establece que el órgano de administración de la empresa obligada a disponer de un sistema de información deberá designar a una persona u órgano colegiado responsable de la gestión del mismo.

Desde una perspectiva de protección de datos, las empresas deberán prever algunas cuestiones complejas relacionadas con esta designación y que guardan una estrecha relación con el tratamiento de datos personales. Concretamente, definir el procedimiento de tramitación de expedientes de investigación, así como el procedimiento de actuación ante potenciales conflictos de interés a los que el responsable del sistema información pueda enfrentarse, disponiendo herramientas o soluciones para evitar que la identidad del informante pueda verse comprometida.

7.   El responsable del tratamiento del Sistema. La Agencia Española de Protección de Datos (“AEPD”) ha publicado el Informe Jurídico 54/2023, resolviendo que se requiere identificar como responsable del tratamiento a la entidad obligada por la ley a disponer de del sistema interno de información, sin perjuicio de que las decisiones necesarias para su correcta implantación deban adoptarse por el correspondiente órgano de administración. Esto zanja una de las principales dudas surgidas con la publicación de la Ley 2/2023, que de forma equivocada parece atribuir en su artículo 5.1 la condición de responsable del tratamiento al órgano de administración.

8.   Participación de terceros en una investigación interna. La investigación de los hechos comunicados por un informante puede requerir de la participación de otros terceros en la investigación, con conocimiento experto en una materia determinada (p. ej. recursos humanos, sistemas informanticos, etc.). De acuerdo con el artículo 32.2 de la Ley 2/2023, el acceso a los datos por parte de estos terceros se presumirá lícito cuando resulte necesario para la adopción de medidas correctoras en la empresa o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.

No obstante, es importante que la empresa garantice el cumplimiento de los principios de la normativa de protección de datos sobre la minimización, conservación y confidencialidad de los datos, entre otros, de forma que deben adoptarse cuantas medidas sean necesarias para dar cumplimiento estos requisitos (p. ej. mediante la firma de acuerdos de confidencialidad con estos terceros participantes).

9.   Designación de un Delegado de Protección de Datos. Uno de los aspectos que más debate ha generado en relación con la nueva Ley 2/2023 gira en torno a la necesidad o no de designar un Delegado de Protección de Datos (DPD) en las empresas del sector privado obligadas a disponer de un sistema interno de información. Si bien es cierto que en el apartado III del Preámbulo de la Ley 2/2023 se menciona esta obligación, como ya lo hacía el Anteproyecto de esta misma Ley, en el artículo 34 el legislador ha optado finalmente por exigir la designación del DPD únicamente a determinadas autoridades (la Autoridad Independiente de Protección del Informante y las autoridades independientes que en su caso se constituyan), por lo que la referencia a esa exigencia en el Preámbulo de la Ley 2/2023 también debería haberse suprimido en la versión final del texto.

Sin perjuicio de lo anterior, la designación de un DPD en empresas del sector privado seguirá siendo obligatoria cuando estas empresas se hallen en alguno de los supuestos contemplados en el artículo 37.1 del RGPD o en el artículo 34 de la LOPDGDD.

10.               Externalización del Sistema. Como indica el Considerando 54 de la Directiva Whistleblowing, así como el artículo 6 de la Ley 2/2023, se puede autorizar a terceros a recibir informaciones en nombre de las empresas del sector privado, siempre que ofrezcan garantías adecuadas de respeto a la independencia, la confidencialidad, la protección de datos y el secreto de las comunicaciones. Con carácter general, este tercero externo que gestione el sistema interno de información tendrá la consideración de encargado del tratamiento a efectos de la normativa de protección de datos. Así pues, el tratamiento deberá regirse por el acto o contrato al que se refiere el artículo 28.3 del RGPD. 

11.               Medidas de protección. El artículo 33.2 de la Ley 2/2023 establece que los sistemas internos de información deberán contar con medidas técnicas y organizativas adecuadas para preservar la identidad de las personas afectadas y de cualquier tercero que se mencione en la información suministrada, especialmente la identidad del informante en caso de que se hubiera identificado. Esto guarda una estrecha relación con el artículo 24 del RGPD, que impone a los responsables del tratamiento la obligación de aplicar medidas técnicas y organizativas apropiadas a la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como a los riesgos asociados al mismo.

En consecuencia, las empresas que cuenten con un sistema interno de información deberán adoptar medidas que permitan garantizar la confidencialidad o, en su caso, el anonimato de las comunicaciones (p. ej., impidiendo el tratamiento de datos que permitan la identificación del informante, como puede ser la dirección IP o el número de teléfono), desarrollar una normativa interna que defina el funcionamiento del sistema de información, así como evitar el acceso no autorizado a las comunicaciones, entre muchas otras cuestiones. Documentos como la Norma ISO 37002:2021 pueden resultar un buen referente para ayudar en el diseño y desarrollo de las medidas que deberán configurar el Sistema.

Esta entrada forma parte de una serie más amplia de entradas, en las que profundizaremos en los aspectos más significativos de la protección de datos en relación con la Ley 2/2023.