22 Feb Implicaciones en materia de protección de datos: Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Tal y como indica la propia Ley La colaboración ciudadana resulta indispensable para la eficacia del Derecho. Tal colaboración no sólo se manifiesta en el correcto cumplimiento personal de las obligaciones que a cada uno corresponden, sino que también se extiende al compromiso colectivo con el buen funcionamiento de las instituciones públicas y privadas.
La finalidad de la norma es la de proteger a las personas que en un contexto laboral o profesional detecten infracciones penales o administrativas graves o muy graves y las comuniquen mediante los mecanismos regulados en la misma.
¿Y cómo afecta esta Ley al ámbito de protección de datos?
Es indudable que , estos canales de denuncias, deben gozar de una protección especial, sobre todo en cuanto a confidencialidad se refiere, tal y como establece el art. 5.2 b) “Estar diseñado, establecido y gestionado de una forma segura, de modo que se garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, y de las actuaciones que se desarrollen en la gestión y tramitación de la misma, así como la protección de datos, impidiendo el acceso de personal no autorizado.”
Si la gestión del canal de denuncias se lleva a cabo por un tercero, este será encargado de tratamiento, conforme al art. 6..4 “El tercero externo que gestione el Sistema tendrá la consideración de encargado del tratamiento a efectos de la legislación sobre protección de datos personales..”
Por otra parte, si para las empresas o entidades es obligatorio tener este sistema, la legitimación nos la dará el art. 6.1 c) “el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”. Si la entidad lo implementa de forma voluntaria, la base legal será la recogida en el art. 6.1 e) “el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”.
Si en la denuncia se tratasen datos de salud, el tratamiento de las categorías especiales de datos personales por razones de un interés público esencial se podrá realizar conforme a lo previsto en el artículo 9.2.g) del Reglamento (UE) 2016/679.
Por otra parte, será lícito el tratamiento de los datos por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.
Por último, sobre la eliminación de los datos, se establece que:
Los datos que sean objeto de tratamiento podrán conservarse en el sistema de informaciones únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados.
Si se acreditara que la información facilitada o parte de ella no es veraz, deberá procederse a su inmediata supresión desde el momento en que se tenga constancia de dicha circunstancia, salvo que dicha falta de veracidad pueda constituir un ilícito penal, en cuyo caso se guardará la información por el tiempo necesario durante el que se tramite el procedimiento judicial.
En todo caso, transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre.