La reciente publicación de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, ha suscitado algunas preguntas entre nuestros clientes.
Esta ley aplica a las empresas que tengan más de 50 empleados y les obliga a establecer un canal de denuncias que garantice la privacidad y seguridad de las personas que informen sobre infracciones.
¿En qué afecta a la protección de datos si mi empresa necesita implantar un canal de denuncias?
1 Actualizar el Registro de Actividades de Tratamiento
El canal de denuncias es un tratamiento de datos específico a incluir en el Registro de Actividades de Tratamiento.
En las revisiones y auditorías anuales que realizamos a cada cliente, su consultor comprobará si la ley afecta a su empresa, y de ser así, añadirá este tratamiento a su Registro de Actividades de Tratamiento.
2 Contratos de encargado de tratamiento
Es frecuente colaborar con empresas externas para desarrollar el canal de denuncias. Por ejemplo:
- Con una empresa especializada en Compliance penal, para que gestionen integralmente todo el proceso.
- Con una empresa que proporciona un software como servicio para gestionar el canal.
- Con una empresa externa para realizar las investigaciones de cada denuncia.
- Con una empresa informática para desarrollar un canal propio
Contacta con nosotros si colaboras con cualquiera de estas empresas externas para que te preparemos el contrato de encargado de tratamiento que mejor se ajuste al servicio contratado.
3 Obligaciones en cuanto a la gestión del canal
Además de gestionar el canal de denuncias cumpliendo todos los requisitos de la Ley 2/2023, la empresa debe aplicar una serie de principios de tratamiento y medidas para garantizar la seguridad de los datos de las personas que se vean envueltas en estos procesos:
- Minimización: Es imprescindible limitar la recopilación de datos personales únicamente a aquellos que sean estrictamente necesarios para la investigación y resolución de la denuncia. Evitar recopilar información irrelevante o excesiva que no esté directamente relacionada con el caso.
- Confidencialidad: Mantener la denuncia y toda la información relacionada de forma estrictamente confidencial, estableciendo medidas de control de acceso que garanticen que sólo aquellas personas involucradas en el proceso de investigación tengan acceso a los datos pertinentes.
- Conservación: Los datos personales relativos a las informaciones recibidas y a las investigaciones internas solo se conservarán durante el período que sea necesario y proporcionado a efectos de cumplir con esta ley. En particular, se tendrá en cuenta lo previsto en los apartados 3 y 4 del artículo 32. En ningún caso podrán conservarse los datos por un período superior a diez años.
- Protección física: Si se llevan a cabo tratamientos de datos en formato físico, utilizar carpetas o archivos para almacenarlas y protegerlas de pérdidas, daños o robos y si es posible, guardarlas en áreas separadas etiquetándolas con códigos para facilitar su organización y búsqueda.
- Registros de acceso: En caso de que haya más de una persona autorizada, es aconsejable llevar un registro de accesos a las denuncias físicas que incluya información como la fecha, hora y motivo del acceso para hacer un seguimiento de quién ha consultado los registros en caso de detectarse alguna irregularidad
- Destrucción adecuada: Establecer procedimientos claros para la destrucción segura de las denuncias físicas cuando ya no sean necesarias o cuando se cumpla el plazo de retención legal. Podéis utilizar trituradoras de papel o servicios especializados en la destrucción de documentos confidenciales para asegurar de que la información sea irreparablemente eliminada
4 Participación del DPO
Si la empresa dispone de Delegado de Protección de Datos / Data Protection Officer (DPO), éste deberá participar en la definición y puesta en marcha de este nuevo tratamiento de datos personales.
Pero si la empresa no estaba obligada a nombrar DPO, implantar un canal de denuncias tampoco obliga a nombrarlo.
El borrador que circulaba antes de la publicación en el BOE de la ley, sí incluía esta obligación. Pero la publicación definitiva de la ley, deja claro en su artículo 34 que esta obligación se limita a la Autoridad Independiente de Protección del Informante, que nombrará el Gobierno en un futuro, y a otras Autoridades Independientes que en su caso se constituyan (si las Comunidades Autónomas deciden hacerlo)
Imagen gracias a Kristina Flour