En esta segunda entrada enumeramos más cuestiones relevantes de protección de datos en relación con la Ley de Protección de Informantes
A partir del próximo 1 de diciembre de 2023, las empresas privadas que cuenten con 50 trabajadores o más en plantilla deben disponer de sistemas internos de información, o en su caso adaptarlos, de acuerdo con lo establecido en la Ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, por la que se transpone la Directiva (UE) 2019/1937, más conocida como Directiva Whistleblowing. Con ello, las empresas que alcancen este número mínimo de trabajadores se sumarán a aquellas que desde el pasado 13 de junio ya debían disponer de estos sistemas.
Algunos de los aspectos fundamentales de la Ley 2/2023 ya fueron objeto de una primera entrada en el blog, en la que detallábamos ciertas cuestiones clave en materia de protección de datos.
En esta entrada trataremos otros puntos relevantes relacionados con la protección de los datos personales y su normativa aplicable –Reglamento General de Protección de Datos (RGPD) y la Ley orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)–. Se trata de cuestiones que se plantean en el sector privado en relación con el tratamiento de datos llevado a cabo en el marco de estos sistemas internos de información.
De acuerdo con el artículo 35.1 del RGPD, cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades a las personas físicas, el responsable del tratamiento deberá realizar una evaluación de impacto relativa a la protección de datos que, entre otras cuestiones, deberá describir los detalles del tratamiento en cuestión y las medidas tomadas para reducir o mitigar los riesgos detectados.
El RGPD enumera en el apartado segundo de dicho artículo algunos de los supuestos en los que debe llevarse a cabo una evaluación de impacto. Por su parte, autoridades europeas y nacionales han publicado listados de tratamientos que requieren o no esta evaluación. Por ejemplo, la Agencia Española de Protección de Datos (AEPD) publicó una lista de tipos de tratamientos de datos que requieren una evaluación de impacto, así como otra lista orientativa de tipos de tratamientos que no requieren esta evaluación.
Teniendo esto en cuenta, a lo largo del proceso de implementación del sistema interno de información, las empresas deberán determinar si dicha evaluación será necesaria, considerando factores como la tipología de información que podrá recogerse, el volumen de datos o el alcance que se pretenda dar al sistema.
Como ya analizamos anteriormente en esta entrada del blog, el Tribunal Supremo, en su Sentencia 188/2022, establecía que la protección de datos es una obligación de medios y no de resultados, debiendo las empresas disponer de medidas adecuadas al tratamiento en cuestión, de acuerdo con lo dispuesto en el artículo 32 del RGPD.
Aplicando dicho pronunciamiento al ámbito de los sistemas internos de información, las medidas adecuadas para los datos personales tratados con el sistema pueden dividirse en dos grupos:
(i) las medidas y requisitos de obligado cumplimiento contemplados específicamente tanto en la Ley 2/2023, como en la Directiva Whistleblowing; y
(ii) adicionalmente, las medidas necesarias para garantizar la seguridad los datos personales objeto del tratamiento según los criterios del RGPD y la LOPDGDD.
En el caso de que se produzca una brecha de seguridad en la que se vean afectados datos personales tratados mediante el sistema interno de información, se plantea la cuestión de si, a pesar de haberse adoptado medidas para un nivel de seguridad más que adecuado según los criterios de las normativas de protección de datos aplicables, las autoridades presumirán una responsabilidad objetiva o cuasi-objetiva del responsable del tratamiento por la brecha sufrida cuando las medidas o requisitos establecidos en la Ley 2/2023 y Directiva Whistleblowing se hayan visto comprometidos.
De acuerdo con el artículo 7.2 de la Ley 2/2023, el sistema interno de información deberá permitir realizar comunicaciones verbales. Como señala el mismo artículo, este tipo de comunicaciones tienen que documentarse mediante una grabación de la conversación en un formato seguro, duradero y accesible, o a través de una transcripción completa y exacta de la conversación. La empresa también ofrecerá al informante la oportunidad de comprobar, rectificar y aceptar mediante su firma la transcripción de la conversación. De este modo, las comunicaciones verbales plantean una serie de cuestiones en relación con la protección de datos como las expuestas a continuación:
a) En primer lugar, la Ley 2/2023 establece que se deberá recoger el consentimiento del informante con carácter previo a la labor de documentación de la comunicación verbal. Para que pueda considerarse válido, este consentimiento deberá cumplir con los requisitos de la normativa de protección de datos –entre ellos, deberá ser libre, específico, informado e inequívoco–. De ser necesario, la empresa deberá prever también cómo actuar en aquellos casos en los que el informante decida ejercitar su derecho a retirar el consentimiento, sin que esto afecte a las posibles investigaciones por los hechos –incluso delictivos– de los que haya sido alertada.
b) En segundo lugar, como indicábamos previamente, las empresas deben implementar medidas adecuadas para la protección de los datos personales. Estas medidas deben adaptarse según el modo en que la empresa haya configurado su sistema interno de información. Por ejemplo, cuando el sistema contemple la posibilidad de grabar las comunicaciones verbales de forma anónima, no bastará con evitar cualquier referencia a la identidad del informante, sino que deberán adoptarse medidas técnicas como, por ejemplo, herramientas que permitan la distorsión de la voz o, si la comunicación verbal se realiza de forma telefónica, que impidan la colección de metadatos como el número de teléfono, de forma que no sea posible bajo ningún concepto identificar al informante.
c) Finalmente, otra cuestión a considerar cuando se realicen comunicaciones verbales, en este caso, en un formato presencial, es el entorno físico en el que se realiza esta comunicación. La empresa debería procurar garantizar que las comunicaciones presenciales se lleven a cabo en un entorno seguro, lejos de miradas indiscretas y de suspicacias del resto de los integrantes de la empresa. A tales efectos, incluso se podría valorar la conveniencia de citar al informante en un lugar fuera del entorno laboral para garantizar su seguridad, así como para evitar comprometer cualquier futura investigación que pueda derivar de los hechos que vayan a comunicarse.
El artículo 26 de la Ley 2/2023, sobre el registro de informaciones, establece que las empresas que dispongan de un sistema interno de información deberán contar con un libro-registro de las informaciones recibidas, así como de las investigaciones internas a que hayan dado lugar. De acuerdo con dicho artículo, los datos personales relativos a estas comunicaciones e investigaciones solo se conservarán durante el período que sea necesario y proporcionado, y en ningún caso podrán conservarse por un período superior a 10 años.
Sin perjuicio de lo anterior, como ya se ha visto en otros casos, los plazos previstos para la conservación de datos que se establecen en una ley no impiden justificar la conservación de dichos datos cuando exista otra normativa que motive la conservación de dichos datos por más tiempo. Por ejemplo, si la actividad delictiva descubierta mediante una comunicación al sistema interno de información tiene un plazo de prescripción superior a 10 años, podría plantearse la necesidad de conservar las comunicaciones por un plazo superior al establecido en la Ley 2/2023.
En el momento de implementar un mismo sistema interno de información para todo un grupo empresarial, una de las cuestiones que más debate ha generado es el rol en el tratamiento de datos que asumen matriz y filiales. En tales casos, los escenarios que se barajan más habitualmente son los siguientes:
(i) la matriz y la filial actúan como responsables independientes en relación con el tratamiento de los datos tratados mediante el sistema; o
(ii) la filial es responsable del tratamiento de los datos que le son comunicados y la matriz es encargada del tratamiento, al ser la que provee el sistema interno de información a todo el grupo; o
(iii) matriz y filiales actúan como corresponsables del tratamiento de los datos tratados mediante el sistema.
Como se indica en la normativa de protección de datos, el carácter de responsable se atribuye a quien, solo o junto con otros, determina los fines y medios del tratamiento. De modo que identificar en cuál de los escenarios anteriores nos encontramos dependerá, por ejemplo, de quién sea la parte con más poder de decisión en la gestión de las comunicaciones y de las eventuales investigaciones, entre otros factores que se deben tener en cuenta.
Otra cuestión que tampoco se puede obviar en los grupos empresariales con presencia internacional es la posible existencia de transferencias internacionales de datos a países u organizaciones fuera del Espacio Económico Europeo. En el caso de que los datos tratados mediante el sistema interno de información impliquen una de estas transferencias, el grupo deberá procurar informar de ello a los afectados, así como contemplar la aplicación de alguna de las garantías suficientes establecidas en el Capítulo V del RGPD.
Ramon Baradat, con la colaboración de Nour Yazbeck
