AD+
“Sistema Interno de Información”
Canal de Denuncia y Protección de Datos de Carácter Personal
En marzo del presente año, se aprobó la tramitación del Anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción por la que se transpone la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. El Proyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante, “Proyecto de Ley”), fue aprobado por el Consejo de Ministros el pasado el 13 de septiembre.
Antes de analizar las obligaciones y relación con la normativa en materia de protección de datos, es importante aclarar el concepto de “canal de denuncia”.
El Proyecto de Ley denomina el canal de denuncias “Sistema Interno de Información”, como cauce preferente para informar (denunciar) sobre las acciones u omisiones establecidas en la Ley. Es decir, es el medio por el cual, cualquier persona puede informar sobre infracciones que vulneren el ordenamiento nacional o europeo garantizando su protección bajo el régimen jurídico establecido por el Proyecto de Ley:
El Artículo 5: Sistema interno de información.
- El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el responsable de la implantación del Sistema interno de información, previa consulta con la representación legal de las personas trabajadoras y tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales.
- El Sistema interno de información, en cualquiera de sus fórmulas de gestión, deberá:
a) Permitir comunicar información sobre las infracciones previstas en el artículo 2 a todas las personas referidas en el artículo 3.
b) Estar diseñado, establecido y gestionado de una forma segura, de modo que se garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación y de las actuaciones que se desarrollen en la gestión y tramitación de la misma, la protección de datos, impidiendo el acceso de personal no autorizado.
c) Permitir la presentación de comunicaciones por escrito o verbalmente, o de ambos modos.
d) Integrar los distintos canales internos de información que pudieran establecerse dentro de la entidad.
e) Garantizar que las comunicaciones presentadas puedan tratarse de manera efectiva dentro de la correspondiente entidad u organismo con el objetivo de que el primero en conocer la posible irregularidad sea la propia entidad u organismo.
f) Ser independientes y aparecer diferenciados respecto de los sistemas internos de información de otras entidades u organismos, sin perjuicio de lo establecido en los artículos 12 y 13 siguientes.
g) Contar con un Responsable del sistema en los términos previstos en el artículo 9 de esta ley.
h) Contar con una política o estrategia que enuncie los principios generales en materia de Sistemas interno de información y defensa del informante y que sea debidamente publicitada en el seno de la entidad u organismo.
i) Contar con un procedimiento de gestión de las informaciones recibidas.
j) Establecer las garantías para la protección de los informantes en el ámbito de la propia entidad u organismo, respetando, en todo caso, lo dispuesto en el artículo 8.
El sistema interno de información puede estar gestionado por un externo:
Artículo 6. Gestión del Sistema de interno de información por tercero externo.
- La gestión del Sistema interno de información se podrá llevar a cabo dentro de la propia entidad u organismo o acudiendo a un tercero externo, en los términos previstos en esta ley. A estos efectos, se considera gestión del Sistema la recepción de informaciones.
- La gestión del Sistema por un tercero externo exigirá en todo caso que este ofrezca garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto de las comunicaciones.
La existencia de corresponsables del tratamiento de datos personales requiere la previa suscripción del acuerdo regulado en el artículo 26 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- La gestión del Sistema interno de información por un tercero no podrá suponer un menoscabo de las garantías y requisitos que para dicho sistema establece esta ley ni una atribución de la responsabilidad sobre el mismo en persona distinta del Responsable del Sistema previsto en el artículo 8.
- El tercero externo que gestione el Sistema tendrá la consideración de encargado del tratamiento a efectos de la legislación sobre protección de datos personales. El tratamiento se regirá por el acto o contrato al que se refiere el artículo 28.3 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
En ambos casos, siempre se debe garantizar el cumplimiento de las obligaciones en materia de protección de datos de carácter personal, por tanto:
- Identificación del tratamiento como Responsable del Tratamiento o Corresponsables.
- Relación con externo como Encargado del Tratamiento (artículo 28.3 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016).
- Deber de confidencialidad, no repudio, integridad y comunicación anónima.
- Deber de informar y consentimiento (transparencia, finalidad, plazo de conservación, destinatarios, ejercicio de derechos, DPO).
- Personal autorizado (artículo 32).
¿Qué entidades están obligados a implementar un sistema interno de información o canal de denuncias?
Sector privado:
- Empresas de 50 o más trabajadores.
- Las personas jurídicas del sector privado que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente a que se refieren las partes I.B y II del anexo de la Directiva (UE) 2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre de 2019.
- Los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos.
Sector público:
- Administraciones y entidades del sector público.
El tratamiento de datos de carácter personal que derive del canal de denuncias o sistema interno se regirá por la normativa vigente en materia de protección de datos Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en la Ley Orgánica 3/2018, de 5 de diciembre, en la Ley Orgánica 7/2021, de 26 de mayo, 49 de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
La licitud del tratamiento deberá de estar legitimada:
Artículo 6 Licitud del tratamiento (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016):
El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Asimismo, será de aplicación lo establecido en la Ley Orgánica 7/2021, de 26 de mayo.
El acceso a los datos personales contenidos en el Sistema interno de información quedará limitado, dentro del ámbito de sus competencias y funciones, exclusivamente a (artículo 32):
a) El Responsable del Sistema y a quien lo gestione directamente.
b) El responsable de recursos humanos, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador. En el caso de los empleados públicos, el órgano competente para la tramitación del mismo.
c) El responsable de los servicios jurídicos de la entidad u organismo, si procediera la adopción de medidas legales en relación con los hechos relatados en la comunicación. d) Los encargados del tratamiento que eventualmente se designen.
e) El Delegado de Protección de Datos.
Como novedad, la normativa incluye la obligación de contar con un Delegado de Protección de Datos para las entidades obligadas a disponer de un sistema interno de información:
Artículo 34. Delegado de protección de datos.
- Las entidades obligadas a disponer de un sistema interno de información, así como los terceros externos que en su caso lo gestionen, cuando, conforme al Reglamento (UE) 2016/679del Parlamento Europeo y del Consejo, de 27 de abril de 2016, no tuvieran la obligación previa de su designación, deberán nombrar un Delegado de protección de datos competente para todos los tratamientos llevados a cabo incluido dicho Sistema interno de información.
Régimen sancionador:
El procedimiento sancionador contempla multas que oscilan entre los 1.001 y los 300.000 euros, en el caso de personas físicas; y los 10.001 y el millón de euros, en el caso de las personas jurídicas:
Artículo 65. Sanciones.
- La comisión de infracciones previstas en esta ley llevará aparejada la imposición de las siguientes multas: a) Si son personas físicas las responsables de las infracciones, serán multadas con una cuantía de 1.001 hasta 10.000 euros por la comisión de infracciones leves; de 10.001 hasta 30.000 euros por la comisión de infracciones graves y de 30.001 hasta 300.000 euros por la comisión de infracciones muy graves.
- b) Si son personas jurídicas serán multadas con una cuantía hasta 100.000 euros en caso de infracciones leves, entre 100.001 y 600.000 euros en caso de infracciones graves y entre 600.001 y 1.000.000 euros en caso de infracciones muy graves.
Como conclusión, a la hora de implementar un canal de denuncias son muchas los requisitos que se deben de detener en cuenta:
- Sistema elegido – canal mediante el cual cualquier persona puede poner conocimiento de la infracción que está cometiendo la entidad.
- Autorizados – nombramientos y personal autorizado que pueda acceder a la información del canal.
- Identificación del Tratamiento – Actualización del Registro de Actividades del Tratamiento, Análisis y Medidas de Control. Canal Seguro.
- Relación con terceros – identificación de terceros como Encargados del Tratamiento.
- Designación del Delegado de Protección de Datos.
Daiana Lamela Scafarelli
11 de octubre de 2022
Fuentes:
- REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- Proyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

Socia en I+D Abogados
Nuevas Tecnologías/Privacidad/DPO
Miembro de la Asociación Profesional Española de Privacidad – APEP