En el presente número de Breves, analizamos las novedades introducidas por la nueva directiva ‘whistleblowing’ desde el punto de vista de protección de datos y su aplicación en los programas de Compliance penal.
Igualmente, con la mirada puesta en la evolución de la tramitación legislativa del Reglamento europeo de ePrivacy, trasladamos el estudio sobre la Propuesta de modificación realizada por parte de la Presidencia croata del Consejo de la UE a la propuesta del Reglamento ePrivacy.
Al respecto analizaremos la principal novedad que introduce dicha propuesta, ya que, por primera vez, se contempla el interés legítimo como base lícita para el tratamiento de metadatos de comunicaciones electrónicas, así como para la utilización de dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios.
La nueva Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, obliga a las entidades jurídicas de 50 o más trabajadores – o aquellas que sean requeridas debido a su actividad y el correspondiente nivel de riesgo (en particular, para el medio ambiente y la salud pública) – a incorporar canales de denuncia interna y de seguimiento de las mismas.
La directiva entró en vigor el pasado 16 de diciembre de 2019, y los Estados miembros deben llevar a cabo su trasposición. En este sentido, respecto a los plazos de adaptación por parte de las empresas, se establece que aquellas empresas con más de 250 trabajadores deberán dar cumplimiento a las disposiciones legales que el correspondiente Estado Miembro haya transpuesto, a más tardar el 17 de diciembre de 2021, y las que tengan entre 50 y 250 empleados deberán transponerlas, antes del 17 de diciembre de 2023.
La directiva exige a los Estados Miembros que incorporen un régimen sancionador en la normativa de trasposición, para aquellas empresas que impidan o intenten impedir denuncias, adopten medidas de represalia o promuevan procedimientos abusivos contra los denunciantes, incumplan el deber de confidencialidad de la identidad de los denunciantes o respecto de denunciantes que comuniquen o releven públicamente informaciones falsas siempre que éstos conozcan la no veracidad de las informaciones divulgadas.
La Directiva 2019/1937 establece los siguientes requisitos mínimos que, para la protección de las personas que informen sobre diversos tipos de infracciones que se pueden producir en el ámbito laboral, deben cumplir los canales de denuncias:
Las infracciones que podrán ser objeto de comunicación a través del canal de denuncias serán las relacionadas con:
La LOPD establece requisitos adicionales para la creación de los sistemas de información de denuncias internas, tales como:
Teniendo en cuenta todo lo anteriormente indicado, sería recomendable que las empresas elaborasen un procedimiento o protocolo que regule correctamente la gestión del Canal de Denuncias.
El pasado 21 de febrero, la presidencia del Consejo de la Unión Europea, que este semestre corresponde a Croacia, presentó su propuesta de enmiendas a la Propuesta de Reglamento de privacidad y Comercio electrónico, las cuales tienen como finalidad simplificar el texto de determinadas disposiciones y alinearlo aún más con el Reglamento General de Protección de Datos (RGPD).
La primera de las disposiciones respecto de las que se han introducido enmiendas es el artículo 6 y sus correspondientes considerandos, que regula el “Tratamiento autorizado de datos de comunicaciones electrónicas”, y en concreto, el relativo al tratamiento de metadatos de comunicaciones electrónicas, al objeto de posibilitar el tratamiento de los mismos en dos nuevos supuestos:
En este sentido, la propia Presidencia considera que los intereses del usuario anularían el posible interés legítimo si el proveedor utiliza los metadatos de las comunicaciones electrónicas para determinar la naturaleza y características del usuario final o para construir un perfil individual del mismo, o cuando los metadatos contengan categorías especiales de datos personales (a menos que su tratamiento sea necesario por razones de interés público).
Respecto al segundo supuesto, cabe señalar que, a pesar de que el interés legítimo es una de las bases legitimadoras reconocidas por el RGPD, no cabe olvidar que esta novedad dista del posicionamiento mantenido hasta ahora por parte del Parlamento Europeo, que no contempla la aplicación de la mencionada base legitimadora para este tratamiento.
La segunda de las disposiciones respecto de las que la Presidencia ha propuesto modificaciones es el artículo que regula la «Protección de la información almacenada en los equipos terminales de los usuarios finales y relativa a dichos equipos«, introduciendo nuevas condiciones en las que el tratamiento de los datos de los terminales de los usuarios resulta lícito.
El nuevo supuesto, de excepción a la prohibición general, se refiere a aquél en el que el tratamiento resulte necesario para los intereses legítimos pretendidos por el proveedor de servicios, siempre y cuando, no prevalezcan los intereses o derechos y libertades fundamentales del usuario final, teniendo en cuenta las expectativas razonables de éste en función de su relación con el proveedor.
Así, por lo tanto, esta modificación afecta a la instalación de cookies y al tratamiento de los datos personales recabados mediante las mismas.
Algunos de los supuestos concretos que se contemplan como ejemplos en los que se podría aplicar el mencionado interés legítimo sería:
En cualquier caso, en estos supuestos, se requiere que el usuario final haya sido informado previamente, de manera clara, precisa y fácil, acerca del propósito de la instalación de las cookies (o técnicas similares) y éste haya aceptado dicha instalación.
Por el contrario, no deberíamos basarnos en intereses legítimos si, el almacenamiento o el tratamiento de la información en el equipo terminal del usuario final o, la información recopilada de este fuera utilizada para determinar la naturaleza o características de un usuario final, o para construir un perfil individual de un usuario final (por ejemplo, cuando se usa con fines de segmentación, para monitorizar el comportamiento de un usuario final específico o para sacar conclusiones sobre su vida privada).
En tales casos, se considera que los intereses y las libertades y derechos fundamentales del usuario final anulan el interés del proveedor del servicio, ya que tales operaciones de tratamiento pueden interferir seriamente en la vida privada del usuario.
Así, por ejemplo, no podrá basarse en el interés legítimo la instalación de las cookies de rastreo, las cuales requerirían del previo consentimiento del interesado.
Tampoco, podría alegarse un interés legítimo si la información almacenada, tratada o recopilada incluye categorías especiales de datos personales.
Como hemos comentado, la propuesta de la Presidencia tiene por objeto acercar el nuevo reglamento de ePrivacy al RGPD y en este sentido, podría entenderse que el hecho de aceptar como valido el interés legítimo en los supuestos concretos mencionados, resultaría coherente en relación con el considerando 49 del RGPD, que contempla la aplicación del interés legítimo como base adecuada para el tratamiento de datos personales para, por ejemplo, garantizar la seguridad de la red y de la información y de los servicios conexos ofrecidos por, o a través de, estos sistemas y redes.
En cualquier caso, en ambos supuestos (tratamiento de metadatos y de los datos de los terminales de los usuarios), será preciso que se cumplan las salvaguardas y garantías establecidas por el RGPD, de modo que se garantice que no prevalecen los intereses o derechos y libertades del interesado, por encima del interés legítimo pretendido, debiendo, por tanto, realizar la correspondiente ponderación.
Asimismo, la citada Presidencia establece que en ambos supuestos:
a. Realizar previamente la correspondiente evaluación de impacto en la privacidad del usuario final, de conformidad con lo establecido en el artículo 35 RGPD.
b. Informar al usuario final respecto al tratamiento, así como de su derecho de oposición.
c. Implementar medidas técnicas y organizativas apropiadas, como seudonimización y cifrado.
Artículo de Periscopio Fiscal & Legal : https://periscopiofiscalylegal.pwc.es/novedades-de-la-directiva-whistleblowing-y-propuesta-de-enmiendas-al-reglamento-eprivacy/
Socia responsable de Regulación Digital
Directora en el área de Regulación Digital