En enero de 2023 ha entrado en funcionamiento en España la Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (Ley de Protección de Informantes), en transposición de la Directiva (UE) 2019/1937 de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (Whistleblowing Directive); que viene a regular los sistemas internos de información o canal de denuncia para el sector privado y público.
Esta Directiva esta en vigor desde el 16 de diciembre de 2019 y debía adquirir rango de ley en los países de la UE antes del 17 de diciembre de 2021; en España ha ocurrido con cierto retraso al ser transpuesta la Directiva el 23 de septiembre de 2022.
El plazo máximo para que las entidades del sector privado implementen un canal de denuncia es:
- Entidades privadas entre 50 y 249 trabajadores, el 1 de enero de 2023;
- Para las entidades que cuenten con 250 o más trabajadores, tres meses a partir de la entrada en vigor de la Ley de Protección de Informantes.
En España hay novedades respecto al resto de países de la UE, obligatoriedad del DPO para el canal de denuncias.
A partir de ahora en el sector privado, no disponer de un delegado de protección de datos (DPO, por sus siglas en inglés Data Protection Officer) para empresas a partir de 50 trabajadores, ya sea en servicio externo o internalizado, conlleva una falta administrativa y por tanto sancionable según el artículo 34 de la Ley de Protección de Informantes «Las empresas privadas y organismos públicos obligadas a disponer de un canal de denuncia o sistema interno de comunicaciones, así como los terceros externos que en su caso lo gestionen, aunque no tuvieran la obligación previa de designar a un DPO en virtud de la normativa específica sobre protección de datos, deberán nombrar uno para todos los tratamientos llevados a cabo«.
El objetivo del DPO en los canales de denuncia es garantizar la privacidad, la seguridad, la transparencia y la integridad de los sistemas de información de denuncias, completando el ciclo de las medidas de gestión de riesgos de ciberseguridad.
¿A quién afecta esta normativa?
El DPO es obligatorio para las empresas de más de 50 trabajadores, partidos políticos, sindicatos y fundaciones que reciban fondos públicos. También aplica a todos los municipios, aunque los que no superen los 10.000 habitantes podrán compartir los medios para la recepción de informaciones, siempre y cuando estén dentro de la misma comunidad autónoma.
Novedades del DPO y la Directiva Whistleblowing en España
(A). – Las entidades (públicas o privadas) obligadas a disponer de un sistema interno de información o canal de denuncia, así como los terceros externos que en su caso lo gestionen, tienen la obligación de nombrar un DPO.
(B). – El DPO supervisará la correcta operativa del sistema de información, entre otras funciones recogidas en la LOPD y el RGPD. Principalmente, tendrá en cuenta que no se recopilen datos personales cuya pertinencia no resulte manifiesta para tratar una información específica o, si se recopilan por accidente, se eliminarán sin dilación indebida. No obstante, la legislación de referencia contempla una gran variedad de datos de personas que trabajan en el sector público y privado, incluidas aquellas que denuncien una vez la relación laboral haya finalizado:
- Trabajadores asalariados;
- Trabajadores no asalariados;
- Accionistas;
- Personas pertenecientes a órganos de administración;
- Personas de dirección o supervisión de empresas;
- Voluntarios;
- Trabajadores en prácticas;
- Candidatos a un puesto de trabajo;
- Personas que ayuden a los denunciantes de forma confidencial;
- Personas relacionadas con un denunciante que puedan sufrir represalias* en el trabajo;
- Entidades jurídicas vinculadas al denunciante.
(C).- El acceso a la información y los datos personales contenidos en el Sistema interno de denuncia quedará limitado exclusivamente a:
- El Responsable del Sistema de denuncia y a quien lo gestione directamente.
- El Delegado de Protección de Datos (DPO).
- El responsable de Recursos Humanos, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador. En el caso de los empleados públicos, el órgano competente para la tramitación del mismo.
- El responsable de los servicios jurídicos de la entidad u organismo, si procediera la adopción de medidas legales.
- Los encargados del tratamiento en el caso que así se designen (por ejemplo, una empresa que facilita un software del canal, de conformidad al RGPD).
(D).- Los datos que sean objeto de tratamiento podrán conservarse en el sistema o canal de denuncias sólo durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación. Se procederá a su supresión una vez transcurridos tres meses desde la recepción de la comunicación sin que se hayan iniciado actuaciones, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento correcto del canal de denuncias.
(E).- La Ley de Protección de Informantes modifica el Artículo 24 sobre “Sistemas de información de denuncias internas” de la LOPD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales), con un nuevo redactado.
(F).- Los tratamientos de datos personales que deriven de la gestión del canal de denuncia se regirán por lo dispuesto en el:
- RGPD – Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016;
- LOPD – Ley Orgánica 3/2018, de 5 de diciembre;
- Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, y en el presente título.
Y por tanto, la figura del DPO será la regulada en esas leyes.
¿Qué debo hacer para cumplir?
Nombrar un DPO, contratando el servicio de forma externa o interna y notificar la designación del DPO a la Autoridad de Protección de Datos (para entidades privadas la Agencia Española de Protección de Datos).
La elección del DPO más adecuado para una entidad dependerá de la estructura de la misma, pero, en cualquier caso, su función debe garantizar la independencia y la ausencia de conflictos de intereses, por lo que es muy recomendable externalizar el DPO en un servicio. El DPO debería ser distinto al Responsable del Sistema de Información (éste último se notifica a la Autoridad Independiente de Protección del Informante).
Como dice la Directiva EU, los Responsables del Sistema en las entidades de menor tamaño, podría ejercer una función dual a cargo de un ejecutivo de la sociedad bien situado para comunicarse directamente con la dirección de la entidad; por ejemplo, un responsable de cumplimiento normativo o de recursos humanos, un responsable de la integridad, un responsable de asuntos jurídicos o de la privacidad, un responsable financiero, un responsable de auditoría o un miembro del consejo de administración.
Régimen sancionador
Las entidades (públicas o privadas) obligadas a disponer de un sistema interno de información, así como los terceros externos que en su caso lo gestionen tienen la obligación de nombrar un DPO.
A partir de ahora en el sector privado, no disponer de un DPO para empresas a partir de 50 trabajadores, ya sea en servicio externo o internalizado, conlleva una falta administrativa y, por tanto, podrán ser sancionadas.
El régimen sancionador contempla desde amonestaciones públicas a la prohibición de obtener subvenciones y otros beneficios fiscales durante un plazo máximo de cuatro años o de contratar con la Administración Pública durante un plazo máximo de tres años, pero también, multas que podrán ir de 1.001 euros a 300.000 euros en el caso de personas físicas y de 10.001 euros a 1.000.000 de euros en el caso de las personas jurídicas.
¿Cómo podemos ayudarte desde A2SECURE?
A2SECURE te ofrece el servicio de Delegado de Protección de Datos ajustados a tus necesidades reales, por ejemplo:
- Designación simple de DPO con facturación por horas de trabajo implicado.
- Nombramiento del DPO con una bolsa de horas.
- Selección o Asignación del DPO interno del cliente.
- Integración del DPO en la Security Office o SOC.
El equipo que integra A2SECURE está compuesto por expertos técnicos y legales en privacidad, con amplia experiencia en la implementación de los mecanismos normativos en todos los sectores de la empresa privada y organismos públicos. Las ventajas de tener el DPO de A2SECURE es que no sólo cumples con la obligación de la Ley de Protección de Informantes, sino que tienes todo un equipo legal y técnico de asesoramiento continuo sobre ciberseguridad y privacidad.
Autor: Carlos Basteiro