Skip links
Cómo cumplir con la protección de datos en un sistema interno de denuncias

Cómo cumplir con la protección de datos en un sistema interno de denuncias

Segun la nueva Ley Whistleblowing, vamos a tratar qué hay que tener en cuenta desde la protección de datos en la implantación de un canal de denuncias.

Hace unos días, contábamos en nuestro blog algunos de los puntos clave sobre la nueva Ley Whistleblowing o de protección a quienes denuncien internamente una infracción en un lugar de trabajo, en vigor desde el pasado lunes 13 de marzo. Ahora, en este nuevo post, vamos a centrarnos en qué hay que tener en cuenta desde la protección de datos en la implantación de un canal de denuncias.

El objetivo de la ley “whistlebowing”

Como ya sabes, esta nueva norma se dicta con el fin de proteger adecuadamente a quienes denuncien, de forma interna, alguna situación ocurrida en el entorno laboral. Esto implica, de todas todas, que intervengan datos personales: • Por una parte, del propio denunciante • Por otra, del denunciado • Eventualmente, de terceros implicados Desde el momento en que entran datos personales en juego, toca cumplir con la normativa de protección de datos: en nuestro caso, principalmente con el RGPD y la LOPDgdd.

Qué dice la normativa de protección de datos sobre estos sistemas

Esta idea ya se prevé en la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, concretamente en su artículo 24.1: «Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable»

Licitud del tratamiento

No importa si controlas más o menos sobre protección de datos; pero siempre es fundamental recordar que todo tratamiento de datos personales, debe realizarse de forma lícita (art. 6 RGPD), es decir, que debe contar con justificación o base jurídica que lo ampare. El tratamiento de los datos asociados al canal de denuncias, para quienes están obligados por ley a crearlo, estará basado por tanto en la existencia de esa obligación legal (art. 6.1.c, RGPD). Para quienes no tengan tal obligación, pero libremente decidan implantar un sistema, la base jurídica más favorable parece ser la existencia de un interés público.

¿Cómo me aseguro de que mi sistema de denuncias cumple con la protección de datos?

En Dataseg, hemos hecho un recorrido de principio a fin por toda la ley para localizar cualquier aspecto de utilidad a nivel protección de datos. En líneas generales, es fundamental que un sistema de denuncias se construya atendiendo a las siguientes obligaciones: • Garantizar la seguridad del denunciante y su confidencialidad • Ser utilizado solo por las personas que la ley dispone • Impedir el acceso a personal no autorizado • Si un tercero -por ejemplo, un prestador de servicios- interviene en su gestión, debe suscribirse el correspondiente contrato de encargo • Garantizar los derechos del denunciante, que podrá comprobar, rectificar y aceptar la información vertida. • Informar al denunciante de que su identidad será reservada y no difundida • Centrarse solo en los datos necesarios para gestionar la infracción

Una figura clave en protección de datos: el DPO o DPD

Recuperando información que ya tratamos en nuestro primer post sobre este tema, en la exposición de motivos de la ley “whistleblowing” se establece que aquellas entidades que estén obligadas a disponer de un sistema de denuncias, también deben nombrar un delegado de protección de datos, DPO o DPD. Aunque finalmente en el artículado solo hacen mención a las autoridades que surjan, lo cierto es que esta figura es una de las pocas que recoge la Ley con capacidad para acceder a los datos recogidos en el sistema de denuncias, por eso aunque no sea obligatorio, es recomendable su nombramiento. Esta figura es importantísima en el marco de la protección de datos, pues fue creada por el RGPD, y se define como aquella persona o empresa que se asegura de que en una organización se cumple con la normativa reguladora. Trabaja de forma confidencial e independiente y tiene funciones de: • Información y asesoramiento • Supervisión de cumplimiento normativo • Asignación de responsabilidades • Formación del personal • Realización de auditorías Cooperación con la autoridad de control

¿Qué criterio tiene la AEPD sobre todo esto?

En octubre de 2021, la Agencia Española de Protección de Datos publicó un artículo muy interesante y práctico sobre privacidad en sistemas de denuncia o “whistleblowing”. Aquí te dejamos el enlace para que puedas leerlo íntegramente, pero, como puntos clave, la AEPD señala que este sistema debe: • Ser informado a los trabajadores • Cumplir con los principios de proporcionalidad y limitación Proteger los datos personales del denunciante • Tener un acceso limitado • Garantizar los derechos de los interesados • Respetar los plazos de conservación y eliminación de datos

¿Cuánto tiempo deben conservarse los datos en el sistema de denuncias?

Si has leído atentamente el punto anterior, verás que una de las indicaciones de la AEPD sobre estos sistemas se refiere a la conservación y eliminación de datos. ¿Qué nos dice la nueva norma sobre esto? En concreto: • No deben tratarse datos personales que no sean necesarios para el conocimiento e investigación de la situación denunciada. Si esto ocurre, debemos borrarlos de inmediato. • Los datos que sí proceda usar, se guardarán solo durante el tiempo imprescindible para decidir si se inicia una investigación. • Si se comprueba que la información no es veraz, también debe procederse a su inmediato borrado, salvo que pueda haber indicios de un ilícito penal. • En todo caso, si han transcurrido tres meses desde que se recibieron los datos y no se ha iniciado una investigación, deberá procederse al borrado. Hasta aquí, nuestra lista de puntos a tener en cuenta desde la protección de datos en la implantación del canal de denuncias. Visto lo visto, está claro que ambos conceptos van de la mano y que, si queremos evitar correr riesgos por incumplimiento, debemos prestar atención a todas las obligaciones mencionadas. Como siempre, si te has quedado con ganas de más o necesitas asesoramiento especializado, te invitamos a ponerte en contacto con nosotros o solicitar un presupuesto.