Llei reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció i les seves afectacions en matèria de protecció de dades

Després de la publicació el passat mes de febrer de 2023 de la Llei reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció (Llei 2/2023) al Butlletí Oficial de l’Estat, i en vigor des del passat 13 de març del 2023, són moltes les qüestions que es plantegen ara les organitzacions sobre la seva correcta aplicació i/o les seves obligacions sobre això, també en matèria de protecció de dades respecte a l’informant i l’afectat.

L’objecte de la norma és, precisament, imposar a les entitats o organismes obligats per la Llei, les mesures necessàries i obligatòries per protegir totes aquelles persones físiques que mantenen o van mantenir algun tipus de vincle professional o laboral amb una entitat, tant del sector públic com a privat, i que vulguin comunicar situacions d’infracció, corrupció o frau de les que són coneixedors, ampliant l’àmbit de protecció també a les persones que prestin assistència a l’informant interna o externament, al seu entorn i a les persones jurídiques de la seva propietat, davant de possibles represàlies per part de l’entitat o organisme afectat. Els requisits d’aplicació de la Llei van, i han d’anar, de la mà de la normativa que regula la protecció de les dades personals de tots aquells que intervinguin, sigui quin sigui el paper, en aquestes comunicacions. Basant-nos en els seus requisits, es considera imprescindible que les companyies estiguin al corrent amb les seves obligacions en matèria de protecció de dades, ja que, si no ho estan, és probable que resultin sancionades per l’incompliment d’aquesta Llei i/o d’altres normatives d’obligada aplicació.

La Llei 2/2023 estableix l’obligació de comptar amb un sistema intern o extern d’informació que reuneixi, entre moltes altres obligacions, els aspectes que considera rellevants quant a protecció de dades per a la implantació d’aquest sistema, recollits en el títol IV.

Què és un sistema intern d’informació?

El sistema intern d’informació o canal de denúncies és el canal preferent posat a disposició dels usuaris per les entitats i organismes obligats a això per la Llei, mitjançant el qual poden comunicar les infraccions del dret de la Unió Europea i/o infraccions penals o administratives, greus o molt greus, de les lleis nacionals de què en tinguin coneixement. Tot això, comptant amb la protecció necessària com a informants per no patir les temudes represàlies cap a la seva persona.

Quines diferències hi ha entre un sistema intern o un extern?

El sistema d’informació extern és el que es duu a terme a través d’un tercer extern a l’entitat o organisme, i garanteix, per tant, la independència, la confidencialitat, la protecció de dades i el secret de les comunicacions. Des del punt de vista de la protecció de dades, aquest extern tindrà la condició d’encarregat de tractament. Això no obstant, això suposa que el responsable tindrà l’obligació d’assegurar-se que l’extern elegit proporciona les garanties i mesures tècniques i de seguretat suficients sobre els tractaments de dades de caràcter personal que es realitzin, mitjançant la signatura d’un contracte o acte jurídic amb acord al Dret de la Unió o dels Estats membres.

El Sistema d’informació intern es gestiona a la pròpia empresa i, en aquest cas, podria suposar alguna complicació quant a poder garantir la seva independència, confidencialitat i secret de les comunicacions per assegurar la no represàlia i/o temptatives contra les persones que presenten la comunicació.

Aquestes entitats o organismes obligats per llei hauran de crear un protocol que reguli tot el procediment de gestió d’informacions: des de la recepció de la comunicació interna, terminis de resposta, vies d’atenció, anàlisi preliminar, investigació i fases, conclusió i els principis i drets per a la defensa i la protecció de l’informant i també de l’afectat. Per tant, la Llei proporciona instruccions molt concretes a l’hora d’establir quines són les obligacions que cal complir per protegir la informació personal implicada en aquestes comunicacions.

A continuació, anomenem algunes de les obligacions més importants en aquesta matèria:

– La licitud del tractament. S’entendrà lícit en virtut del que disposen els articles 6.1.c) i 6.1.e) del Reglament general de protecció de dades depenent de l’obligació legal o no de disposar d’un sistema d’informació intern o extern.

– Obligació de fer complir amb el principi de minimització de les dades i límit del tractament, establint que únicament tindrà accés a la informació el Responsable del Sistema designat per l’entitat o organisme i aquells que indefectiblement hi hagin d’accedir també, així com el DPO de l’entitat, si es disposa d’aquesta figura.

– El termini de supressió comprèn únicament el temps imprescindible per decidir sobre la procedència d’iniciar una investigació sobre els fets informats. Les comunicacions que no s’hagin cursat només podran constar de forma anonimitzada, sense que sigui aplicable l’obligació de bloqueig prevista a l’article 32 de la Llei orgànica 3/2018, de 5 de desembre (LOPDGDD).

– Salvaguardar la identitat de l’informant. Així mateix, a més del que exigeix ​​l’art. 13 RGPD, se l’ha d’informar de forma expressa, que la seva identitat serà en tot cas reservada i que no es comunicarà a l’afectat a què es refereix en la seva comunicació ni tampoc a tercers, així com de quins són els seus drets (compresos entre els articles 15 a 22 del RGPD). Això no obstant, s’ha de tenir en consideració que, a diferència de l’informant, si la persona afectada per la comunicació exerceix el seu dret d’oposició, es presumirà que, excepte prova del contrari, hi ha motius legítims imperiosos que legitimen el tractament de les dades personals, i en cas d’exercir el vostre dret d’accés, s’evitarà en tot moment facilitar les dades de l’informant.

L’execució del Sistema intern d’informació requereix també la seva inclusió al Registre d’activitats de tractament corresponent, així com la implantació de mesures tècniques, organitzatives i de seguretat apropiades al nivell de risc de l’activitat.

Una altra mostra dels canvis importants que suposa aquesta Llei és que fins i tot, en la disposició final 7, ha modificat l’art. 24 de la LOPDGDD: “Seran lícits els tractaments de dades personals necessàries per garantir la protecció de les persones que informin sobre infraccions normatives. Aquests tractaments es regeixen pel que disposa l’RGPD, aquesta llei orgànica i la Llei reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció.”

Després d’aquesta anàlisi, reiterem la necessitat d’estar al dia en el compliment de les seves obligacions en matèria de protecció de dades, cosa que facilitarà posteriorment que la creació del protocol per al sistema d’informació sigui eficient a l’entitat o organismes obligats per la Llei i minimitzin el risc de ser sancionats per incompliment.

 

Melani Rubio

Assessora Protecció de Dades JDA/SFAI

print


Dejar un comentario "El nombre que nos facilite aparecerá publicado junto a su comentario"