 |
| Fuente de la imagen: mvc archivo propio |
Resumen: La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, impone la obligación a ciertas entidades de implementar un Sistema Interno de Información (SII), comúnmente denominado Canal de Denuncias. La Fase 3 de este plan de implantación, centrada en la Documentación y el Marco Normativo, es necesaria para garantizar la compatibilidad jurídica del SII con el Reglamento General de Protección de Datos (RGPD) (Reglamento UE 2016/679) y la Ley Orgánica 3/2018 (LOPDGDD). Este resumen aborda la adaptación en Protección de Datos específica, detallando la necesidad de actualizar los Registros de Actividades de Tratamiento (RAT), la elaboración de la Cláusula de Protección de Datos del Canal, y las Garantías RGPD esenciales (legitimación, retención e información), asegurando que el tratamiento de datos personales realizado a través del Canal se ajuste a los principios de licitud, minimización y transparencia.
Palabras Clave: Ley 2/2023; Sistema Interno de Información (SII); Canal de Denuncias; RGPD; Protección de Datos; Registros de Actividades de Tratamiento (RAT); Legitimación; Retención de Datos; Transparencia; Cláusula de Protección de Datos.
Summary: Law 2/2023, of February 20, regulating the protection of individuals who report regulatory infringements and combating corruption, mandates that certain entities implement an Internal Information System (IIS), commonly known as a Whistleblowing Channel. Phase 3 of this implementation plan, focused on Documentation and the Regulatory Framework, is crucial to ensuring the legal compatibility of the IIS with the General Data Protection Regulation (GDPR) (EU Regulation 2016/679) and Organic Law 3/2018 (LOPDGDD). This summary addresses the specific adaptation to Data Protection regulations, detailing the need to update the Records of Processing Activities (RPAs), the drafting of the Channel's Data Protection Clause, and the essential GDPR safeguards (legitimacy, retention, and information), ensuring that the processing of personal data carried out through the Channel complies with the principles of lawfulness, minimization, and transparency.
Keywords: Law 2/2023; Internal Information System (IIS); Whistleblowing Channel; GDPR; Data Protection; Records of Processing Activities (RPAs); Legitimate Basis; Data Retention; Transparency; Data Protection Clause.
1. Introducción: Adaptación en Protección de Datos del SII (Canal de Denuncias)
La implementación del Canal de Denuncias implica necesariamente el tratamiento de categorías especiales de datos personales (como infracciones, condenas penales, o datos sensibles de la persona informante y la persona afectada).
Por ello, el cumplimiento riguroso del RGPD es un contrafuerte básico en la Fase 3.
2. Actualización de los Registros de Actividades de Tratamiento (RAT)
El Responsable del Tratamiento (la entidad obligada) debe asegurar que su Registro de Actividades de Tratamiento (RAT), refleje de forma exhaustiva y precisa la actividad de tratamiento derivada del SII.
- Identificación del Tratamiento: Debe incluir un nuevo apartado específico denominado "Tratamiento de datos personales a través del Sistema Interno de Información (Canal de Denuncias)".
- Finalidad: La finalidad del tratamiento es el cumplimiento de la obligación legal de gestionar el SII, investigar las informaciones recibidas y, en su caso, adoptar medidas correctoras.
- Categorías de Datos: Especificar los tipos de datos tratados (identificativos, profesionales, relativos a infracciones normativas, etc.) tanto de la persona informante (si no es anónima) como de la persona afectada.
- Plazos de Retención: Detallar los plazos de conservación, tal como se desarrollan a continuación.
- Medidas de Seguridad: Describir las medidas técnicas y organizativas implementadas para proteger los datos (cifrado, acceso restringido, pseudonimización…), teniendo en cuenta la naturaleza sensible de la información.
3. Garantías RGPD Fundamentales
El diseño del Canal de Denuncias debe integrar las siguientes garantías para un tratamiento lícito y leal.
A. Legitimación del Tratamiento
La base jurídica (legitimación) para el tratamiento de datos personales en el SII es doble y se fundamenta en el RGPD:
- Cumplimiento de una obligación legal: La propia Ley 2/2023 establece la obligación de crear y gestionar el Canal de Denuncias, sirviendo como fundamento legal para el tratamiento de datos necesario para el funcionamiento del sistema y la investigación de las informaciones.
- Interés Público/Ejercicio de Poderes Públicos: Para las entidades del sector público, podría aplicarse también el RGPD.
B. Retención y Supresión de Datos
Uno de los principios clave del RGPD es la limitación del plazo de conservación. La Ley 2/2023 establece plazos estrictos para garantizar la minimización:
- Regla General: Los datos personales serán conservados solamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados.
- Plazo Máximo sin Investigación: Si la información no es objeto de investigación, los datos deberán suprimirse en el plazo máximo de tres meses desde su recepción.
- Conservación para Investigación: Si se inicia una investigación, los datos se conservarán por el tiempo necesario para la investigación y, en su caso, para el proceso sancionador o judicial que se derive.
- Archivado Legal: Solamente podrán conservarse en el sistema de forma anonimizada o bloqueada cuando deban ser archivados conforme a la legislación aplicable, no debiendo conservarse más de diez años en ningún caso (aplicable a la documentación del procedimiento).
C. Deber de Información y Transparencia
El principio de transparencia exige que el Responsable del Tratamiento informe de manera clara, accesible y concisa a todas las personas cuyos datos sean tratados.
Esta obligación se cumple mediante la redacción de la Cláusula de Protección de Datos del Canal.
3. Redacción de la "Cláusula de Protección de Datos del Canal"
Este documento debe ser accesible desde la propia plataforma del SII y cumplir con el deber de información respecto a dos categorías de personas: la persona informante y la persona afectada.
La Cláusula debe incluir:
- Identidad del Responsable del Tratamiento: Datos de la entidad obligada.
- Delegado/a de Protección de Datos (DPD/DPO): Datos de contacto.
- Fines del Tratamiento: Cumplimiento de la Ley 2/2023 y gestión del SII.
- Legitimación: Cumplimiento de obligación legal (Ley 2/2023).
- Categorías de Datos Tratados: Detalle de los datos recogidos.
- Plazos de Conservación: Indicación de los tres meses y la excepción del tiempo necesario para la investigación.
- Destinatarios/as de los Datos: Indicar si habrá comunicación a terceros (Ej.: Autoridad judicial, Ministerio Fiscal, AEPD, o empresas externas gestoras del Canal).
- Derechos de la persona interesada: Informar sobre los derechos de acceso, rectificación, supresión, limitación y oposición, haciendo la salvedad sobre las restricciones aplicables a los derechos de la persona afectada (especialmente en la fase de investigación, para no comprometer la eficacia de esta, conforme a la Ley 2/2023 y la AEPD).
- Procedencia de los datos: En el caso de la persona afectada, indicar que los datos se han obtenido a través de una información o denuncia en el SII.
4. Conclusiones
La adaptación al RGPD en la Fase 3 del Plan de Implantación del SII es un ejercicio de cumplimiento normativo que garantiza la legalidad, equidad y privacidad de las personas involucradas.
La correcta actualización del RAT y la redacción transparente de la Cláusula de Protección de Datos son pasos ineludibles para mitigar riesgos legales y preservar la confianza en el Canal de Denuncias como herramienta de compliance y buen gobierno.
5. Referencias
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Agencia Española de Protección de Datos (AEPD).