Implicaciones en protección de datos personales derivadas de la nueva Ley del informante, ¿qué considerar?

Al respecto, a continuación, se traen a colación las siguientes consideraciones, a saber:

1. ¿Cuál es el régimen jurídico aplicable?

Según el artículo 29 de la Ley del Informante, el tratamiento de datos personales realizado en aplicación de la nueva Ley se realizará de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE ( en adelante, el “Reglamento general de protección de datos”, el “RGPD”, o el “GDPR”), y con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo que sigue, la “LOPDGDD”). También conforme a la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, cuando esta aplique.

2. ¿Modifica la Ley del Informante la LOPDGDD?

Sí, la Ley del Informante modifica parcialmente la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que ya contemplaba en su artículo 24, -precepto con carácter de ley ordinaria, conforme lo dispuesto en la Disposición Final Primera de la LOPDGDD-,  la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión, en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable.

No obstante, a pesar de lo anterior, era necesario completar las previsiones hasta ahora incluidas en la LOPDGDD para poder incorporar los tratamientos de datos que se lleven a cabo en los canales de comunicación externos y en los supuestos de revelación pública.

3. Privacidad, legalidad y seguridad desde el diseño, ¿se debe considerar?:

Sin lugar a dudas, el “legal design” o diseño legal del Sistema y de los canales internos de información es importante considerarlo en el momento de su desarrollo y establecimiento, así como también poder demostrar proactivamente que este ha tenido lugar.

De hecho, según la ley, el Sistema interno de información, en cualquiera de sus fórmulas de gestión, deberá estar diseñado, establecido y gestionado de una forma segura, y de modo que se garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, y de las actuaciones que se desarrollen en la gestión y tramitación de la misma, así como la protección de datos, impidiendo el acceso de personal no autorizado (ex artículo 5.2 b) de la Ley del Informante). Algo que, en otro orden de cosas, resulta coherente con los principios contenidos en el artículo 5 y 25 del GPDR, pero también con lo dispuesto en los artículos 5 y 28 de la LOPDGDD y la Carta española de Derechos Digitales (Principio I).

En particular, según se desprende del artículo 33.2 de la Ley del Informante, los sistemas internos de información, los canales externos y quienes reciban revelaciones públicas deberán contar con medidas técnicas y organizativas adecuadas para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas y a cualquier tercero que se mencione en la información suministrada, especialmente la identidad del informante en caso de que se hubiera identificado. Ello incide en el cumplimiento reforzado de los principios de confidencialidad e integridad dispuesto en el artículo 5 del RGPD.

4. Roles y obligaciones legales asociadas:

• Responsable del tratamiento. El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por la Ley del Informante será el responsable de la implantación del sistema interno de información, previa consulta con la representación legal de las personas trabajadoras, y tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales. Estos serán, además, los competentes para la designación de la persona física responsable de la gestión de dicho sistema o “Responsable del Sistema”, y de su destitución o cese de acuerdo con el artículo 8.1 de la Ley del Informante, pudiendo tratarse de un órgano colegiado también.
• Corresponsables del tratamiento. La existencia de corresponsables del tratamiento de datos personales requiere la previa suscripción del acuerdo regulado en el artículo 26 del GDPR (ex artículo 6.2 de la Ley del Informante). Estos casos podrían darse a tenor de lo dispuesto en los artículos 11, 12 y 14 de la Ley del Informante (Grupos de Sociedades y medios compartidos del sector público y privado). Comprobar que existen estos acuerdos por escrito y su contenido legal es fundamental para poder cumplir.
• Encargado del tratamiento. El tercero externo que gestione el Sistema, en aquellos supuestos en que esto sea posible (o que, en su caso, pueda brindar soporte parcial al responsable del Sistema interno de información a estos efectos), tendrá la consideración de encargado del tratamiento a efectos de la legislación sobre protección de datos personales. El tratamiento de datos, en estos casos, se regirá por el acto o contrato al que se refiere el artículo 28.3 del GDPR (ex artículo 6.4 de la Ley del Informante), por lo que habrá que considerar hacer uno específico o, en su caso, revisar el que se pudiera haber suscrito de forma previa para comprobar que concurren todas las garantías requeridas por la ley al respecto. Y es que la gestión del sistema por un tercero externo exigirá en todo caso que este ofrezca garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto de las comunicaciones (y su consiguiente comprobación por parte del responsable del tratamiento).

• Delegado de Protección de Datos (DPD/DPO). De acuerdo con lo que dispone el artículo 37.1.a) del RGPD, la Autoridad Independiente de Protección del Informante, A.A.I., y las autoridades independientes que en su caso se constituyan, deberán nombrar un delegado de protección de datos. Al margen de estos casos, contenidos en la normativa actual, es importante poner de relieve el papel protagonista del Delegado de Protección de Datos, en caso de estar designado, a la hora de controlar y velar por el adecuado cumplimiento de la normativa protectora de datos personales en estos casos, señalándose como una de las personas habilitadas para el acceso a los datos contenidos en el Sistema interno de Información (ex artículo 32.1 e) de la Ley del Informante).

5. Principios de tratamientos

Las políticas, estrategias y procedimientos de gestión del Sistema de Información deberán integrar y cumplir con los principios esenciales del tratamiento contenidos en la normativa protectora de datos personales, por lo que su integración y plasmación son clave a estos fines, con independencia de que este se gestione interna o externamente.

Asimismo, según el apartado 5 del artículo 32 de la Ley del Informante, los empleados y terceros deberán ser informados acerca del tratamiento de datos personales en el marco de los Sistemas de información, lo que requerirá un esfuerzo por parta de las compañías en torno al principio de transparencia requerido y poder demostrar, además, convenientemente el mismo para el mejor cumplimiento del principio de responsabilidad proactiva en el sentido exigido por el artículo 5.2 del RGPD.

De forma adicional, se destacan también las siguientes particularidades:

5.1. Transparencia y deber de información.

Según el artículo 25 de la Ley del Informante, los sujetos comprendidos dentro del ámbito de aplicación de la Ley del Informante proporcionarán la información adecuada de forma clara y fácilmente accesible, sobre el uso de todo canal interno de información que hayan implantado, así como sobre los principios esenciales del procedimiento de gestión. En caso de contar con una página web, dicha información deberá constar en la página de inicio, en una sección separada y fácilmente identificable.  De igual modo, las autoridades competentes a las que se refiere el artículo 24 de dicha Ley publicarán, en una sección separada, fácilmente identificable y accesible de su sede electrónica, como mínimo, cierta información entre la que se encuentra el régimen de confidencialidad aplicable a las comunicaciones y, en particular, la información sobre el tratamiento de los datos personales.

De igual forma, el procedimiento establecerá asimismo las previsiones necesarias para que el Sistema interno de información y los canales internos de información existentes cumplan con los requisitos establecidos en la ley aplicable de forma que, como parte de su contenido mínimo, se incluya, entre otros extremos el pleno respeto de las disposiciones sobre protección de datos personales (artículo 9.2 de la Ley del Informante) y que, con ello, se brinde información clara acerca de tales tratamientos y sus condiciones.

De hecho, dado que el canal interno deberá permitir realizar comunicaciones por escrito o verbalmente, o de las dos formas, se advertirá, por ejemplo, de forma particular al informante de que la comunicación será grabada y del tratamiento de sus datos de acuerdo a lo que establece el GDPR (ex artículos 7.2). En un sentido similar, respecto al Canal externo de información de la Autoridad Independiente de Protección del Informante, A.A.I., se manifiesta el artículo 17.2 de la Ley del Informante.

Por consiguiente, cuando se obtengan directamente de los interesados sus datos personales se les facilitará la información a que se refieren los artículos 13 del RGPD y 11 de la LOPDGDD.

A los informantes y a quienes lleven a cabo una revelación pública se les informará, además, de forma expresa, de que su identidad será en todo caso reservada, que no se comunicará a las personas a las que se refieren los hechos relatados ni a terceros, sin perjuicio de lo dispuesto en el artículo 33 de la Ley del Informante.

Y es que, la identidad del informante solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora. Además, esto se trasladará al informante antes de revelar su identidad, salvo que dicha información pudiera comprometer la investigación o el procedimiento judicial. Cuando la autoridad competente lo comunique al informante, le remitirá un escrito explicando los motivos de la revelación de los datos confidenciales en cuestión.

5.2. Pertinencia, limitación de la finalidad y minimización de datos.

Según el artículo 29 de la Ley del Informante, no se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una información específica o, si se recopilan por accidente, se eliminarán sin dilación indebida, debiendo preverse sistemas de supresión seguros y adecuados.

En ningún caso, según el artículo 32 de la misma Ley, serán objeto de tratamiento los datos personales que no sean necesarios para el conocimiento e investigación de las acciones u omisiones a las que se refiere esta Ley, procediéndose, en su caso, a su inmediata supresión.

Asimismo, se suprimirán todos aquellos datos personales que se puedan haber comunicado y que se refieran a conductas que no estén incluidas en el ámbito de aplicación de la ley.

Si la información recibida contuviera datos personales incluidos dentro de las categorías especiales de datos, se procederá a su inmediata supresión, sin que se proceda al registro y tratamiento de los mismos.

5.3. Principio de exactitud

Si se acreditara que la información facilitada o parte de ella no es veraz, deberá procederse a su inmediata supresión desde el momento en que se tenga constancia de dicha circunstancia, salvo que dicha falta de veracidad pueda constituir un ilícito penal, en cuyo caso se guardará la información por el tiempo necesario durante el que se tramite el procedimiento judicial.

5.4. Licitud del tratamiento

Se considerarán lícitos los tratamientos de datos personales necesarios para la aplicación de la Ley del Informante, de forma que:

• El tratamiento de datos personales, en los supuestos de canales de comunicación internos, se entenderá lícito en virtud de lo que disponen los artículos 6.1.c) del RGPD (cumplimiento de la ley) cuando sea obligatorio disponer de un sistema interno de información. Si no fuese obligatorio, el tratamiento se presumirá amparado en el artículo 6.1.e) del RGPD (el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento).
• El tratamiento de datos personales en los supuestos de canales de comunicación externos se entenderá lícito en virtud de lo que disponen los artículos 6.1.c) del RGPD y el tratamiento de datos personales derivado de una revelación pública se presumirá amparado en lo dispuesto en los artículos 6.1.e) del RGPD.
• Por último, el tratamiento de las categorías especiales de datos personales por razones de un interés público esencial se podrá realizar conforme a lo previsto en el artículo 9.2.g) del RGPD.

5.5. Principio de limitación del plazo de conservación

Según se infiere de los artículos 26.2 y 32 de la Ley del Informante, los datos personales relativos a las informaciones recibidas y a las investigaciones internas solo se conservarán durante el período que sea necesario y proporcionado a efectos de cumplir con esta ley. En ningún caso podrán conservarse los datos por un período superior a diez años (registro de informaciones).

Por tanto, los datos que sean objeto de tratamiento podrán conservarse en el sistema de información únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados. En todo caso, transcurridos tres meses desde la recepción de la comunicación, sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema.

Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPDGDD.

6. ¿Cómo se articula el ejercicio de derechos personales?

Los interesados podrán ejercer los derechos a que se refieren los artículos 15 a 22 del RGPD (artículo 31 de la Ley del Informante).

Ahora bien, quien presente una comunicación o lleve a cabo una revelación pública tiene derecho a que su identidad no sea revelada a terceras personas, existiendo una limitación clara al derecho de acceso dispuesto en la ley, sin perjuicio de lo previsto en el artículo 33 de la Ley del Informante. En esta línea se dispone que el dato de la identidad del informante nunca será objeto del derecho de acceso a datos personales y se limita la posibilidad de comunicación de dicha identidad sólo a la autoridad judicial, el Ministerio Fiscal o la autoridad administrativa competente exigiendo que en todo caso se impida el acceso por terceros a la misma. Al hilo de esta posibilidad, sin embargo, conviene precisar que, siendo la voz como un dato personal, ello podría identificar o permitir la identificación de una persona, lo que podría afectar al carácter anónimo de las comunicaciones, y poner en peligro el anonimato del informante.

De hecho, el acceso a los datos personales contenidos en el Sistema interno de información quedará limitado, dentro del ámbito de sus competencias y funciones, exclusivamente a las personas que se refiere el artículo 32 de la Ley del Informante, donde el papel del DPO, en caso de estar designado, es relevante.

De igual forma, en el caso de que la persona a la que se refieran los hechos relatados en la comunicación, o a la que se refiera la revelación pública, ejerciese el derecho de oposición, se presumirá que, salvo prueba en contrario, existen motivos legítimos imperiosos que legitiman el tratamiento de sus datos personales, existiendo una modulación al ejercicio de este derecho personal también.

Según el artículo 7.2 de la Ley del Informante, por relación a los canales internos de información, sin perjuicio de los derechos que le corresponden de acuerdo a la normativa sobre protección de datos, se ofrecerá al informante la oportunidad de comprobar, rectificar y aceptar mediante su firma la transcripción de la conversación.

Asimismo, el artículo 21 de la Ley del Informante, respecto a los derechos y garantías del informante ante la Autoridad Independiente de Protección del Informante, A.A.I., incluye la posibilidad de ejercer los derechos que le confiere la legislación de protección de datos de carácter personal.

7. ¿Es posible la comunicación de datos del Sistema interno de información?

Conforme el artículo 32 de la Ley del Informante, será lícito el tratamiento de los datos por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.

8. Medidas de protección frente a las represalias en caso de procesos judiciales relativos a infracción de las normas de protección de datos.

De acuerdo con el artículo 38.5 de la Ley del Informante por relación al artículo 2.1 de esta misma Ley, en los procesos judiciales, incluidos los relativos a infracción de las normas de protección de datos, las personas a que se refiere esta norma no incurrirán en responsabilidad de ningún tipo como consecuencia de comunicaciones o de revelaciones públicas protegidas por la misma.

Dichas personas tendrán derecho a alegar en su descargo y en el marco de los referidos procesos judiciales, el haber comunicado o haber hecho una revelación pública, siempre que tuvieran motivos razonables para pensar que la comunicación o revelación pública era necesaria para poner de manifiesto una infracción en virtud de esta ley.

No cabe duda de que garantizar la confidencialidad en el tratamiento de las informaciones es un pilar esencial para conseguir los objetivos pretendidos por el nuevo marco legal, y que la pulcritud en el tratamiento de datos personales es un hito clave para su consecución. Difícilmente se avanzará en establecer una cultura de hablar/escuchar que contribuya a la identificación temprana de infracciones si, junto con las medidas de protección al informante frente a represalias, no se avanza en garantizar un tratamiento cuidadoso y legítimo de sus datos personales y del resto de personas físicas involucradas en una comunicación.