FAQS Canals de denúncia interns


Manuel Castilleja Toscano     13/03/2024

PREGUNTES FREQÜENTS SOBRE ELS CANALS DE DENÚNCIA INTERNS I LA PROTECCIÓ DE DADES

ÍNDEX

I. INTRODUCCIÓ

II. PREGUNTES FREQÜENTS

REFERENT AL REGISTRE DE LES ACTIVITATS DE TRACTAMENT

1. S'ha de fer el registre de les activitats de tractament que suposen els sistemes interns d'informació d'acord amb allò que exigeix l'art. 30 RGPD? (art. 29)

REFERENT A LA RESPONSABILITAT DEL TRACTAMENT

2. Qui és el responsable del tractament de dades personals que suposen els sistemes interns d'informació que cal implantar d'acord amb aquesta Llei? (art. 5.1)
3. Quina responsabilitat adquireix pel que fa al tractament de dades personals el tercer extern que pot gestionar els sistemes interns d'informació? (art. 6)
4. Pot existir coresponsabilitat en el tractament de dades personals que suposen els sistemes interns d'informació?

REFERENT A LA LICITUD DEL TRACTAMENT

  1. Quina base jurídica legitima el tractament de dades personals que suposen els sistemes interns d'informació? (art. 30)
  2. Quina base jurídica legitima el tractament de dades personals que suposen els canals externs? (art. 30.3)
  3. Què és una revelació pública? (art. 27)
  4. Quina base jurídica legitima el tractament de dades personals que suposa una revelació pública? (art. 30.4)
  5. En quina excepció de l'article 9.2 RGPD es pot basar el tractament de dades personals de categoria especial que poguessin suposar els sistemes interns d'informació? (art. 30.5)

REFERENT A LA INFORMACIÓ SOBRE EL TRACTAMENT I L'EXERCICI DE DRETS

  1. Cal informar sobre el tractament de les vostres dades personals a la persona que comunica una irregularitat a través dels sistemes interns d'informació (informant)? (art. 31)
  2. Què s'estableix a la Llei 2/2023 sobre la preservació de la identitat de l'informant o de les persones afectades? (art. 33)
  3. Podeu oposar-vos al tractament de les vostres dades personals la persona a qui es refereixi la informació comunicada a través dels sistemes interns d'informació? (art. 31.4)

REFERENT A L'ACCÉS I A LA CONSERVACIÓ DE LES DADES PERSONALS EN EL SISTEMA

  1. Qui pot accedir a les dades personals contingudes als sistemes interns d'informació? (art. 32.1)
  2. Quines dades personals poden ser objecte de tractament als sistemes interns d'informació? (art. 32.2)
  3. Fins quan s'han de conservar les dades personals als sistemes interns d'informació? (art. 32.3.)

REFERENT A LA DESIGNACIÓ D'UN DELEGAT DE PROTECCIÓ DE DADES

  1. Ha de designar un DPO una organització per la sola circumstància d'estar obligada a implantar un sistema intern d'informació? (art. 34)

REFERENT A LA REALITZACIÓ D'UNA AVALUACIÓ D'IMPACTE

  1. S'ha de fer una avaluació d'impacte dels tractaments de dades personals que suposen els sistemes interns d'informació?

III. CANALS DE DENÚNCIES INTERNS A PRIVACY DRIVER

I. INTRODUCCIÓ

Aquest document es refereix exclusivament al que fa al compliment de la normativa de protecció de dades (RGPD i LOPDGDD) suposen els tractaments de dades personals duts a terme en els sistemes interns d'informació regulats per la Llei 2/2023 de protecció de l'informant.

Amb un format pregunta/resposta s'intenta respondre a les consultes plantejades amb més freqüència des de l'entrada en vigor de la Llei esmentada respecte al compliment de la normativa de privadesa (RGPD i LOPDGDD) que suposen els tractaments de dades personals duts a terme en els sistemes interns d'informació (canals interns d'informació o canals de denúncies interns).

Per això, ens hem basat essencialment en el que estableix el seu Títol VI (articles del 29 al 34) dedicat a la protecció de dades personals, a més d'en part del contingut regulat als articles 5, 6 i a la disposició final 7 que modifica l'article 24 de la LOPDGDD que era el que regulava els tractaments de dades personals per a la protecció de les persones que informin sobre infraccions normatives, que queda amb el següent redactat:

“Seran lícits els tractaments de dades personals necessàries per garantir la protecció de les persones que informin sobre infraccions normatives.

Aquests tractaments es regiran pel que disposa el GDPR, aquesta llei orgànica i la Llei reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció.”

II. PREGUNTES FREQÜENTS

REFERENT AL REGISTRE DE LES ACTIVITATS DE TRACTAMENT

  1. S'ha de fer el registre de les activitats de tractament que suposen els sistemes interns d'informació d'acord amb allò que exigeix l'art. 30 RGPD? (art. 29)

Tots els tractaments derivats de l'aplicació d'aquesta llei es regeixen pel que disposa la normativa de protecció de dades (RGPD, LOPDGDD i LO 7/2021) i per tant s'han d'incloure al Registre d'Activitats de Tractament (RAT) de la entitat.

REFERENT A LA RESPONSABILITAT DEL TRACTAMENT

  1. Qui és el responsable del tractament de dades personals que suposen els sistemes interns d'informació que cal implantar d'acord amb aquesta Llei? (art. 5.1)

Tot i que l'apartat de l'article 5.1 de la Llei 2/2023 estableix que l'òrgan d'administració o òrgan de govern de cada entitat o organisme obligat per aquesta llei serà el responsable de la implantació del Sistema intern d'informació i tindrà la condició de responsable del tractament de les dades personals de conformitat amb el que disposa la normativa sobre protecció de dades personals; i de la lectura d'aquest apartat es podria interpretar que el responsable del tractament de les dades personals és l'òrgan de govern i no la pròpia organització, en un informe jurídic l'AEPD, després d'analitzar el nou règim jurídic regulat per la Llei 2/2023 , la responsabilitat patrimonial dels administradors regulada al Reial Decret Legislatiu 1/2010, de 2 de juliol, pel qual s'aprova el text refós de la Llei de Societats de Capital i el concepte de responsable del tractament conforme a l'article 4.7. del RGPD, conclou:

Que la interpretació correcta de l'article 5 de la Llei 2/2023, des de la perspectiva de la protecció de dades personals, requereix identificar com a responsable del tractament l'organització obligada per la llei a disposar d'un sistema intern d'informació, sense perjudici que les decisions necessàries per a la seva correcta implantació s'hagin d'adoptar pel corresponent òrgan de govern.

  1. Quina responsabilitat adquireix pel que fa al tractament de dades personals el tercer extern que pot gestionar els sistemes interns d'informació? (art. 6)

El tercer extern que gestioni el sistema tindrà la consideració d'encarregat del tractament. L'encàrrec del tractament es regeix per l'acte o contracte a què fa referència l'article 28.3 RGPD. A aquest efecte, es considera gestió del sistema la recepció d'informacions.

El tercer ha d'oferir garanties adequades de respecte a la independència, la confidencialitat, la protecció de dades i el secret de les comunicacions. I la seva gestió del sistema no pot suposar un menyscapte de les garanties i requisits que per a aquest sistema estableix la Llei 2/2023.

  1. Pot existir coresponsabilitat en el tractament de dades personals que suposen els sistemes interns d'informació?

Sí, i l'existència de coresponsables del tractament de dades personals requereix la subscripció prèvia de l'acord regulat a l'article 26 del RGPD. (art. 6.2)

REFERENT A LA LICITUD DEL TRACTAMENT

  1. Quina base jurídica legitima el tractament de dades personals que suposen els sistemes interns d'informació? (art. 30)

Seran lícits els tractaments de dades personals necessàries per garantir la protecció de les persones que informin sobre infraccions normatives:

  • Quan sigui obligatori disposar d'aquests sistemes interns d'informació, d'acord amb el que estableixen els articles 10 i 13 de la Llei 2/2023, sigui obligatori disposar d'un sistema intern d'informació estarà legitimat per l'art. 6.1.c) RGPD, és a dir, el tractament és necessari per al compliment d'una obligació legal aplicable al responsable del tractament, tant per als canals interns d'entitats privades i administracions públiques, com per als canals externs de l'Autoritat Independent de Protecció de l'Informant (AAI), autoritats o òrgans autonòmics.
  • Quan no sigui obligatori disposar del sistema esmentat o quan el tractament es derivi d'una revelació pública, estarà legitimat per l'article 6.1.e) RGPD, és a dir, és necessari per al compliment d'una missió realitzada en interès públic o en l'exercici de poders públics conferits al responsable del tractament.
  1. Quina base jurídica legitima el tractament de dades personals que suposen els canals externs? (art. 30.3)

L'obligació legal aplicable a l'administració pública en qüestió (art. 6.1.c RGPD)

  1. Què és una revelació pública? (art. 27)

És la posada a disposició del públic d'informació sobre accions o omissions en els termes previstos a la Llei 2/2023.

  1. Quina base jurídica legitima el tractament de dades personals que suposa una revelació pública? (art. 30.4)

Que és necessari per al compliment duna missió realitzada en interès públic o en l'exercici de poders públics conferits al responsable del tractament (art. 6.1.e RGPD)

  1. En quina excepció de l'article 9.2 RGPD es pot basar el tractament de dades personals de categoria especial que poguessin suposar els sistemes interns d'informació? (art. 30.5)

El tractament de dades de categoria especial en aquests sistemes d'informació es podria dur a terme per raons d'un interès públic essencial d'acord amb el que preveu l'article 9.2.g) RGPD

REFERENT A LA INFORMACIÓ SOBRE EL TRACTAMENT I L'EXERCICI DE DRETS

  1. Cal informar sobre el tractament de les vostres dades personals a la persona que comunica una irregularitat a través dels sistemes interns d'informació (informant)? (art. 31)

Sí, d'acord amb el que exigeix l'art. 13 RGPD, i a més de forma expressa, se li ha d'informar també que la seva identitat serà en tot cas reservada i que no es comunicarà a les persones a què es refereixen els fets relatats, ni a tercers.

  1. Què s'estableix a la Llei 2/2023 sobre la preservació de la identitat de l'informant o de les persones afectades? (art. 33)

Que l'informant (qui presenti una comunicació o dugui a terme una revelació pública) té dret que la seva identitat no sigui revelada a terceres persones.

I que encara que a l'article 33.2 en principi s'estableix que els sistemes interns d'informació, els canals externs i els que rebin revelacions públiques no han d'obtenir dades que permetin la identificació de l'informant, continua exposant que han de tenir mesures tècniques i organitzatives adequades per preservar la identitat i garantir la confidencialitat de les dades corresponents a les persones afectades i a qualsevol tercer que s'esmenti a la informació subministrada, especialment la identitat de l'informant en cas que s'hagués identificat.

A més, la identitat de l'informant només podrà ser comunicada a l'Autoritat judicial, al Ministeri Fiscal o a l'autoritat administrativa competent en el marc d'una investigació penal, disciplinària o sancionadora.

Les revelacions fetes en virtut d'aquest apartat estaran subjectes a salvaguardes establertes a la normativa aplicable. En particular, s'ha de traslladar a l'informant abans de revelar-ne la identitat, llevat que aquesta informació pogués comprometre la investigació o el procediment judicial. Quan l'autoritat competent ho comuniqui a l'informant, us remetrà un escrit explicant els motius de la revelació de les dades confidencials en qüestió.

  1. Pot oposar-se al tractament de les seves dades personals la persona a qui es refereixi la informació comunicada a través dels sistemes interns d'informació? (art. 31.4)

No, si la persona a què fa referència la informació comunicada exerceix el seu dret d'oposició, es presumeix que, llevat de prova en contra, hi ha motius legítims imperiosos que legitimen el tractament de les seves dades personals.

EN REFERENT A L'ACCÉS I A LA CONSERVACIÓ DE LES DADES PERSONALS AL SISTEMA

  1. Qui pot accedir a les dades personals contingudes als sistemes interns d'informació? (art. 32.1)

Exclusivament podran accedir a les dades personals del sistema:

  • El responsable del sistema i qui el gestioni directament.
  • El responsable de RRHH o l'òrgan competent degudament designat, només quan pogués procedir a adoptar mesures disciplinàries contra una persona treballadora o funcionària.
  • El responsable dels serveis jurídics de l'entitat o organisme, si escau l'adopció de mesures legals en relació amb els fets informats.
  • Els encarregats del tractament que eventualment es designin.
  • El delegat de protecció de dades.

Serà lícit el tractament de les dades per altres persones, o fins i tot la seva comunicació a tercers, quan sigui necessari per a l'adopció de mesures correctores a l'entitat o la tramitació dels procediments sancionadors o penals que, si escau, siguin procedents.

  1. Quines dades personals poden ser objecte de tractament als sistemes interns d'informació? (art. 32.2)

En cap cas seran objecte de tractament les dades personals que no siguin necessàries per a aquests fins o es refereixin a conductes que no estiguin incloses en l'àmbit d'aplicació de la llei, i es procedirà, si s'escau, a suprimir-les immediatament.

Si la informació rebuda conté dades personals de categoria especial, se'n procedirà a suprimir-la immediatament, sense que es procedeixi al registre i tractament d'aquestes. Encara que d'acord amb el que estableix l'article 31.5 de la Llei 2/2023, el tractament de dades de categoria especial per raons d'un interès públic essencial es pot fer d'acord amb el que preveu l'article 9.2.g).

  1. Fins quan s'han de conservar les dades personals als sistemes interns d'informació? (art. 32.3.)

Les dades que siguin objecte de tractament es podran conservar al sistema d'informació únicament durant el temps imprescindible per decidir sobre la procedència d'iniciar una investigació sobre els fets informats.

Si s'acredités que la informació facilitada o part d'aquesta no és veraç, s'ha de procedir a la seva supressió immediata des del moment en què es tingui constància d'aquesta circumstància, llevat que aquesta manca de veracitat pugui constituir un il·lícit penal, cas en què es guardarà la informació pel temps necessari durant el qual es tramiti el procediment judicial.

En tot cas, transcorreguts tres mesos des de la recepció de la comunicació sense que s'hagin iniciat actuacions de recerca, s'haurà de suprimir, llevat que la finalitat de la conservació sigui deixar evidència del funcionament del sistema. Les comunicacions a què no s'hagi donat curs només podran constar de forma anonimitzada, sense que sigui aplicable l'obligació de bloqueig prevista a l'article 32 de la LOPDGDD.

REFERENT A LA DESIGNACIÓ D'UN DELEGAT DE PROTECCIÓ DE DADES

  1. Un DPO ha de designar una organització per la sola circumstància d'estar obligada a implantar un sistema intern d'informació? (art. 34)

No, el redactat de l'article 34 de la Llei estableix que conforme a l'art. 37.1.a) RGPD, “només” l'Autoritat Independent de Protecció de l'Informant (AAI) i les autoritats independents que en el seu cas es constitueixin, han de nomenar un delegat de protecció de dades.

Evidentment sí l'entitat obligada a implantar el sistema intern d'informació es troba entre alguna de les contemplades a l'art. 37.1 del RGPD o 34.1 de la LOPDGDD, sí que tindrà obligació de designar un DPO.

A títol informatiu destaquem que al preàmbul de la Llei s'exigeix que comptin amb un DPO totes les entitats obligades a disposar d'un sistema intern d'informació, els tercers externs que en el seu cas el gestionin i l'Autoritat Independent de Protecció de Dades, A.A.I. així com les que si escau es constitueixin. Aquest error és donat per la primera redacció de l'art. 34 del Projecte de llei, que així ho incloïa, però que va ser esmenat a l'art. 34 definitiu, encara que al preàmbul, sorprenentment, no s'hagi actualitzat.

REFERENT A LA REALITZACIÓ D'UNA AVALUACIÓ D'IMPACTE

  1. S'ha de fer una avaluació d'impacte dels tractaments de dades personals que suposen els sistemes interns d'informació?

La llei 2/2023 no hi obliga específicament, és a dir, l'obligació d'implantar un sistema intern d'informació no implica per si mateixa l'obligació de dur a terme una EIPD, aquesta s'haurà de realitzar quan en els tractaments que es duguin a terme al sistema intern d'informació:

  • Es donin les circumstàncies contemplades als arts. 35.1 o 3 del RGPD, o
  • Conflueixin dos o més criteris dels indicats per l'AEPD a la llista (publicada d'acord amb el que estableix l'art. 35.4 RGPD) de tractaments obligats a realitzar una EIPD, o
  • Es donin alguna de les circumstàncies contemplades a l'art. 28.2 de la LOPDGDD

III. CANALS DE DENÚNCIES INTERNS A PRIVACY DRIVER

A Privacy Driver es contemplen els tractaments relatius als sistemes interns d'informació o canals de denúncia interns i totes les seves obligacions des de la publicació de la Directiva 2019/1937 relativa a la protecció de les persones que informen sobre infraccions del Dret de la Unió.

La documentació relativa als Canals de denúncies interns està disponible a Privacy Driver:

  • Circulars informatives, per complir el deure informació de l'art. 13 RGPD, al menú DOCUMENTACIÓ / CLÀUSULES / PERSONAL / TRACTAMENT i DOBLE CAPA:
    • “Circular informativa del tractament (PERSONAL) CONTRACTE LABORAL VARIS FINS” (entre aquests fins s'inclou el de denúncies internes).
    • “Circular informativa del tractament CANAL ÈTIC o de DENÚNCIES INTERNES”.
    • “Circular informativa del tractament LOPDGDD (CANAL ÈTIC o de DENÚNCIES INTERNES)”.
  • Plantilla de tractament, per complir amb el deure d'incloure al RAT (art. 30 RGPD) les activitats de tractament que suposen aquests canals, al menú TRACTAMENT / FITXERS / RT / EMPRESA:
    • 55. “Denúncies internes”.