¿Qué pasa con la protección de datos y la nueva ley que regula en canal de denuncias?

El pasado 20 de febrero de 2023 se publicó la nueva ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, cuya principal finalidad es la de proteger a las personas que, en un contexto laboral o profesional, detecten infracciones penales o administrativas graves o muy graves y las comuniquen mediante mecanismos regulados en esta misma normativa, enfocada en materia de Protección de datos personales.

¿Cómo afecta la nueva ley al tratamiento de datos personales?

Respecto a los tratamientos de datos personales la nueva normativa indica que los Responsables del Tratamiento deberán cumplir con el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), así como la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, y en el presente título.

Asimismo, la normativa a través de la Disposición final séptima modifica el artículo 24 de la LOPDGDD, estableciendo, entre otros, que únicamente serán lícitos los tratamientos de datos personales necesarios para garantizar la protección de las personas que informen sobre infracciones normativas.
En este sentido, la normativa únicamente prevé que los responsables puedan tratar datos personales cuando se trate de información específica, siendo que cuando se recopilen por accidente, se deberán eliminar sin dilación indebida.

¿Cuándo se considera que un tratamiento de datos personales es lícito?

La normativa indica que se podrán tratar datos personales cuando:

1. Sean necesarios para la aplicación de la ley. Esto es (entre otros):
   1. Cuando las personas físicas informen de acciones u omisiones que constituyan infracciones del Derecho de la Unión Europea de conformidad con los supuestos establecidos en la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (entre otros: contratación pública, seguridad de los productos, medio ambiente, salud pública, protección de los consumidores, protección de la privacidad….) o bien que afecten a intereses financieros de la UE o en el mercado interior; así como acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave.
   2. Para la protección de las personas trabajadores que informen sobre infracciones de Derecho laboral en materia de seguridad y salud en el trabajo.
2. Haya una obligación legal aplicable, interés público o por el ejercicio de poderes públicos; así como con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública

En el caso del tratamiento de las categorías especiales de datos personales por razones de interés público esencial, se podrá realizar al ser una excepción del RGPD.

¿Cómo deben los responsables informar sobre el tratamiento de datos personales y el ejercicio de derechos?

Los Responsables del Tratamiento, en el supuesto de captar los datos del propio interesado, deberán informar sobre el tratamiento de datos y el ejercicio de derechos de conformidad con el art. 13 RGPD del tratamiento de sus datos. Esto es:

1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
   1. la identidad y los datos de contacto del responsable y, en su caso, de su representante;
   2. los datos de contacto del delegado de protección de datos, en su caso;
   3. los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
   4. cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
   5. los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
   6. en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestad
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
   1. el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
   2. la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
   3. cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
   4. el derecho a presentar una reclamación ante una autoridad de control;
   5. si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
   6. la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
   7. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2. 4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.

Preservación de la identidad del informante y de las personas afectadas.

Asimismo, se les informará de forma expresa, de que su identidad será reservada y que no se comunicará a terceros. Además, la identidad del informante, en ningún caso, será revelada a la persona a la que se refieran los hechos relatados.

Si la persona a la que se refiera la revelación pública ejerciese el derecho de oposición, se presumirá que, salvo prueba en contrario, existen motivos legítimos imprescindibles que legitiman el tratamiento de sus datos personales.

Los sistemas internos de comunicación, los canales externos y quienes reciban revelaciones públicas no obtendrán datos identificables, deberán preservar la identidad de la persona y garantizarán su confidencialidad mediante la implantación de un seguido de medidas técnicas y organizativas adecuadas.

En una situación de investigación penal, disciplinaria o sancionadora, se comunicará la identidad del informante a la Autoridad Judicial, al Ministerio Fiscal o a la autoridad administrativa competente.

Las relevaciones públicas estarán sujetas a salvaguardas. Por ejemplo, el traslado al informante antes de la revelación de su identidad, con posterioridad al escrito motivacional de la revelación de los datos confidenciales en cuestión.

Si tienes cualquier duda o consulta, contacta con nuestra área de Protección de Datos.