Entradas

La recién llegada ley “whistleblowing” ha generado mucho revuelo en las empresas, pero no hay que olvidar que también afecta a la Administración Pública. Esta nueva norma está dando mucho que hablar, tanto que en Dataseg ya hemos publicado dos artículos al respecto: un resumen de puntos clave y un post con sus implicaciones en protección de datos.

En esta nueva entrega, analizamos la ley desde el punto de vista de su impacto en el sector público, centrándonos en algunos aspectos que nos parecen fundamentales.

Entidades del sector público obligadas a tener un sistema de denuncias

Como ya te hemos contado en anteriores artículos, esta ley nace con el objetivo de obligar a determinadas entidades a contar con un sistema interno de denuncias, así como con el fin de proteger a quienes hagan uso del mismo.

¿A quiénes aplica esta obligación dentro del sector público? La norma es muy clara en este sentido, pues en su art. 13 señala que afecta a “todas las entidades que integran el sector público”. Por si acaso, la ley especifica:

• Administración General del Estado
• Administración de las Comunidades Autónomas
• Ciudades con estatuto de autonomía
• Administración Local
• Organismos y entidades públicas vinculadas o dependientes de la Administración
• Asociaciones y corporaciones en las que participen Administraciones y organismos públicos
• Autoridades administrativas independientes
• El Banco de España
• Entidades gestoras y servicios comunes de la Seguridad Social
Universidades públicas
Corporaciones de Derecho público
Fundaciones del sector público
Sociedades mercantiles con participación de capital público superior al 50%
• Órganos constitucionales o de relevancia constitucional

Es importante tener en cuenta este listado, dado que, desde la llegada de la ley -te recordamos que está en vigor desde el pasado 13 de marzo– se ha extendido mucho la idea de que solo aplica a empresas con más de 50 trabajadores.

Pero su alcance no queda ahí, por lo que si tu entidad encaja en lo indicado, es importante que tengas en cuenta que debes disponer del canal de denuncias.

¿Hay particularidades para alguna entidad pública?

La ley prevé una serie de particularidades, por ejemplo, para los municipios con menos de 10.000 habitantes, que pueden compartir el sistema de denuncias con otros municipios o administraciones de la Comunidad Autónoma.

También pueden hacer lo propio las entidades pertenecientes al sector público con personalidad jurídica propia vinculadas o dependientes de órganos de las Administraciones territoriales y que tengan menos de cincuenta empleados, que podrían compartir su sistema con la Administración de que dependen.

Lo anterior, en todo caso, debe hacerse asegurando la independencia entre sistemas y la facilidad y transparencia para el ciudadano.

El DPO en el sistema de denuncias

Si bien la obligación e nombramiento del delegado de protección de datos que aparecía en el borrador de Ley para que quienes debieran cumplir esta normativa tuvieran también deben nombrar un DPO se eliminó de la Ley, sigue en sus considerandos. Además de lo anterior, el DPO una de las figuras con capacidad de acceso a los datos personales recogidos en el canal de denuncias.

Te recordamos que el DPO es una figura que existe en el marco de la protección de datos, fue creada por el RGPD, y se define como aquella persona o empresa que se asegura de que en una organización se cumple con la normativa reguladora. Trabaja de forma confidencial e independiente y tiene funciones de:

• Información y asesoramiento
Supervisión de cumplimiento normativo
• Asignación de responsabilidades
• Formación del personal
• Realización de auditorías
Cooperación con la autoridad de control

Este es uno de los servicios que prestamos desde Dataseg, así que puedes contactar con nosotros en caso de necesitar más información.

Cumplir con el Esquema Nacional de Seguridad

Por último, no queremos perder la oportunidad de recordarte la importancia del Esquema Nacional de Seguridad (ENS) para las entidades de la Administración Pública.

El ENS es una normativa que establece la política de seguridad el uso de medios electrónicos relacionados con la Administración Pública, con el fin de que la información, las comunicaciones, los servicios y los sistemas estén correctamente protegidos. Así, el ENS busca crear unas condiciones de confianza entre Administración y ciudadano, mediante el establecimiento de medidas de seguridad adecuadas.

Y es fundamental tener cumplir con el ENS en cualquier actuación que lleve a cabo la Administración en el ámbito electrónico, y ello incluye la creación y posterior gestión de los canales de denuncias, que deberán ajustarse a los criterios y requisitos mínimos de esta normativa.

Hace unos días, contábamos en nuestro blog algunos de los puntos clave sobre la nueva Ley Whistleblowing o de protección a quienes denuncien internamente una infracción en un lugar de trabajo, en vigor desde el pasado lunes 13 de marzo.

Ahora, en este nuevo post, vamos a centrarnos en qué hay que tener en cuenta desde la protección de datos en la implantación de un canal de denuncias.

El objetivo de la ley “whistlebowing”

Como ya sabes, esta nueva norma se dicta con el fin de proteger adecuadamente a quienes denuncien, de forma interna, alguna situación ocurrida en el entorno laboral. Esto implica, de todas todas, que intervengan datos personales:
• Por una parte, del propio denunciante
• Por otra, del denunciado
• Eventualmente, de terceros implicados

Desde el momento en que entran datos personales en juego, toca cumplir con la normativa de protección de datos: en nuestro caso, principalmente con el RGPD y la LOPDgdd.

Qué dice la normativa de protección de datos sobre estos sistemas

Esta idea ya se prevé en la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, concretamente en su artículo 24.1:

«Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable»

Licitud del tratamiento

No importa si controlas más o menos sobre protección de datos; pero siempre es fundamental recordar que todo tratamiento de datos personales, debe realizarse de forma lícita (art. 6 RGPD), es decir, que debe contar con justificación o base jurídica que lo ampare.

El tratamiento de los datos asociados al canal de denuncias, para quienes están obligados por ley a crearlo, estará basado por tanto en la existencia de esa obligación legal (art. 6.1.c, RGPD). Para quienes no tengan tal obligación, pero libremente decidan implantar un sistema, la base jurídica más favorable parece ser la existencia de un interés público.

¿Cómo me aseguro de que mi sistema de denuncias cumple con la protección de datos?

En Dataseg, hemos hecho un recorrido de principio a fin por toda la ley para localizar cualquier aspecto de utilidad a nivel protección de datos.

En líneas generales, es fundamental que un sistema de denuncias se construya atendiendo a las siguientes obligaciones:
• Garantizar la seguridad del denunciante y su confidencialidad
• Ser utilizado solo por las personas que la ley dispone
• Impedir el acceso a personal no autorizado
• Si un tercero -por ejemplo, un prestador de servicios- interviene en su gestión, debe suscribirse el correspondiente contrato de encargo
• Garantizar los derechos del denunciante, que podrá comprobar, rectificar y aceptar la información vertida.
• Informar al denunciante de que su identidad será reservada y no difundida
• Centrarse solo en los datos necesarios para gestionar la infracción

Una figura clave en protección de datos: el DPO o DPD

Recuperando información que ya tratamos en nuestro primer post sobre este tema, en la exposición de motivos de la ley “whistleblowing” se establece que aquellas entidades que estén obligadas a disponer de un sistema de denuncias, también deben nombrar un delegado de protección de datos, DPO o DPD. Aunque finalmente en el artículado solo hacen mención a las autoridades que surjan, lo cierto es que esta figura es una de las pocas que recoge la Ley con capacidad para acceder a los datos recogidos en el sistema de denuncias, por eso aunque no sea obligatorio, es recomendable su nombramiento.

Esta figura es importantísima en el marco de la protección de datos, pues fue creada por el RGPD, y se define como aquella persona o empresa que se asegura de que en una organización se cumple con la normativa reguladora. Trabaja de forma confidencial e independiente y tiene funciones de:
• Información y asesoramiento
Supervisión de cumplimiento normativo
• Asignación de responsabilidades
• Formación del personal
• Realización de auditorías
Cooperación con la autoridad de control

¿Qué criterio tiene la AEPD sobre todo esto?

En octubre de 2021, la Agencia Española de Protección de Datos publicó un artículo muy interesante y práctico sobre privacidad en sistemas de denuncia o “whistleblowing”. Aquí te dejamos el enlace para que puedas leerlo íntegramente, pero, como puntos clave, la AEPD señala que este sistema debe:
• Ser informado a los trabajadores
• Cumplir con los principios de proporcionalidad y limitación
Proteger los datos personales del denunciante
• Tener un acceso limitado
• Garantizar los derechos de los interesados
• Respetar los plazos de conservación y eliminación de datos

¿Cuánto tiempo deben conservarse los datos en el sistema de denuncias?

Si has leído atentamente el punto anterior, verás que una de las indicaciones de la AEPD sobre estos sistemas se refiere a la conservación y eliminación de datos. ¿Qué nos dice la nueva norma sobre esto? En concreto:

• No deben tratarse datos personales que no sean necesarios para el conocimiento e investigación de la situación denunciada. Si esto ocurre, debemos borrarlos de inmediato.
• Los datos que sí proceda usar, se guardarán solo durante el tiempo imprescindible para decidir si se inicia una investigación.
• Si se comprueba que la información no es veraz, también debe procederse a su inmediato borrado, salvo que pueda haber indicios de un ilícito penal.
• En todo caso, si han transcurrido tres meses desde que se recibieron los datos y no se ha iniciado una investigación, deberá procederse al borrado.

Hasta aquí, nuestra lista de puntos a tener en cuenta desde la protección de datos en la implantación del canal de denuncias. Visto lo visto, está claro que ambos conceptos van de la mano y que, si queremos evitar correr riesgos por incumplimiento, debemos prestar atención a todas las obligaciones mencionadas.

Como siempre, si te has quedado con ganas de más o necesitas asesoramiento especializado, te invitamos a ponerte en contacto con nosotros o solicitar un presupuesto.

Hoy 13 de marzo de 2023, entra en vigor la Ley de protección al denunciante o de whistleblowing, que puedes encontrar en el BOE como Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

Esta norma tiene como objetivo establecer un marco de protección para aquellas personas que denuncien alguna infracción que se produzca en su entorno laboral, o en el seno de la organización en la que trabajan.

Evidentemente su mayor impacto está en el ámbito laboral pero ya que se tratarán datos tanto de denunciantes como de denunciados, es crítico conocer sus implicaciones a nivel privacidad y protección de datos tema que abordaremos en una próxima entrega.

La Ley Whistleblowing

Aunque se trata de una novedad desde la perspectiva de la Ley nacional, lo cierto es que dentro del Derecho de la Unión ya tiene varios años pues no deja de ser una trasposición al Derecho Español de la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión; puede usarse como apoyo para su cumplimiento la Norma UNE-ISO 37002 Whistleblowing Management Systems.

Entrada en vigor

Para que no te pille el toro, aquí tienes todas las fechas a tener en cuenta:

  • Fecha de publicación en el BOE: 20 de febrero de 2023
  • Fecha de entrada en vigor: 13 de marzo de 2023
  • Periodo de adaptación e implementación: hasta el 13 de junio de 2023
  • Para empresas con menos de 250 empleados: 1 de diciembre de 2023

¿A qué y a quién obliga la nueva norma?

Deben (están obligados) disponer de este sistema:

  • Personas físicas o jurídicas con más de 50 trabajadores
  • Partidos políticos, sindicatos, organizaciones empresariales y fundaciones que manejen fondos públicos
  • Empresas en el ámbito de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente
  • Todas las entidades que integran el sector público, aunque con excepciones para municipios, administraciones o entidades pequeñas.

Es posible tener el canal de forma voluntaria, pero en todo caso debe cumplir con las exigencias de la Ley.

¿Y qué sujetos quedan protegidos por la Ley de whistleblowing?

  • Empleados públicos
  • Trabajadores por cuenta ajena
  • Autónomos
  • Cualquier trabajador supervisado por contratistas, subcontratistas o proveedores
  • Accionistas, partícipes y miembros del órgano de dirección, supervisión o administración
  • Voluntarios, becarios o personas que aún no hayan empezado la relación laboral pero mantengan un nexo con la organización.
  • Representantes legales de los trabajadores

¿Cómo debe estructurarse el sistema de denuncias?

En estos días los software sobre denuncias internas aparecen como champiñones por todas partes, todos tienen uno o todos ofrecen uno. Y que quede claro, la norma no exige que se use un software, exige un sistema interno. Por tanto, puede ser un procedimiento, pero que debe cumplir con todo lo que pide la norma, eso sí.

El sistema interno de denuncias debe permitir que el denunciante pueda presentar la información que estime oportuna tanto verbalmente como por escrito. En todo momento, debe asegurarse la seguridad y confidencialidad del denunciante y de todas las actuaciones llevadas a cabo.

Al frente del mismo, ha de designarse a un Responsable del Sistema interno, que desarrollará sus funciones de forma independiente o autónoma, sin recibir instrucciones y disponiendo de los medios necesarios para ello.

¿La persona que denuncia puede sufrir alguna consecuencia por ello?

No. Además de proteger su confidencialidad, la ley también prohíbe que se tomen represalias contra aquellos trabajadores que presenten denuncias, considerando como tales:

  • Suspensión del contrato, despido o extinción de la relación laboral
  • Daños reputacionales o económicos
  • Coacciones, intimidaciones, acoso u ostracismo
  • Evaluaciones laborales o referencias negativas
  • Inclusión en listas negras
  • Denegación o anulación de licencias o permisos
  • Denegación de formación
  • Discriminación o trato desfavorable o injusto

Además, el denunciante tiene derecho a recibir apoyo, información, asesoramiento y asistencia (psicológica, financiera o jurídica) durante todo el proceso.

¿Quién puede ver qué información hay en el sistema de denuncias?

Siguiendo esa línea de protección de la confidencialidad del denunciante y de los datos asociados a la denuncia, la ley establece una lista limitada de sujetos que pueden acceder al sistema:

  • El responsable del mismo
  • El responsable de RRHH, en algunos casos
  • El responsable de servicios jurídicos de la entidad
  • Los encargados de tratamiento que pudieran designarse
  • El delegado de protección de datos

El delegado de protección de datos

Si bien la obligación e nombramiento del delegado de protección de datos que aparecía en el borrador de Ley para que quienes debieran cumplir esta normativa tuvieran también deben nombrar un DPO se eliminó de la Ley, sigue en sus considerandos. Además de lo anterior, el DPO una de las figuras con capacidad de acceso a los datos personales recogidos en el canal de denuncias.

Esta figura -también llamada DPO o DPD– fue creada por el RGPD, y es aquella persona o empresa que se asegura de que en una organización se cumple con la normativa de protección de datos. Desarrolla su tarea de forma confidencial e independiente y tiene funciones de:

  • Información y asesoramiento
  • Supervisión de cumplimiento normativo
  • Asignación de responsabilidades
  • Formación del personal
  • Realización de auditorías
  • Cooperación con la autoridad de control

Hasta ahora, solo era obligatorio disponer de DPO en algunos casos específicos, pero si tienes más de 50 trabajadores -o cualquiera de los otros supuestos mencionados- debes designarlo.

El de delegado de protección de datos es uno de los servicios que prestamos en Dataseg, así que puedes contactarnos o solicitar un presupuesto si te interesa obtener más información

Régimen sancionador de la Ley whistleblowing

Cerramos artículo haciendo un resumen de las sanciones que prevé esta nueva ley, pues si bien su fin es proteger los derechos y libertades de los denunciantes, también regula una serie de consecuencias para aquellas entidades que incumplan. Así pues tenemos infracciones:

  • Muy graves: Acciones como no disponer del sistema descrito, no proteger la confidencialidad de los denunciantes o adoptar represalias pueden suponer multas de hasta 1.000.000 de euros.
  • Graves: Cuando la infracción cometida no tenga el carácter de muy grave, la sanción aparejada puede llegar a los 600.000 euros.
  • Leves: Otras conductas, como la falta de colaboración en caso de investigación, pueden acarrear una multa de hasta 100.000 euros.

Además, se prevén otras sanciones no económicas, como amonestaciones, prohibiciones de contratación o de obtención de subvenciones.

A tener en cuenta y cierre

La Ley Whistleblowing ha venido para quedarse y tiene muy buenas intenciones… esperemos que las consigamos y cada día tengamos un entorno más cumplidor y ético.

Hoy en este artículo os hemos presentado la norma y sus claves, el miércoles vía radio y por aquí os hablaremos de los puntos a tener en cuenta desde la protección de datos en la implantación del canal de denuncias. Si e surge alguna pregunta, no dudes en contactar con nosotros sobre la aplicación de la normativa de protección de datos al canal de denuncias.