Cumpliendo con la Ley 2/23: 13 preguntas recurrentes

La Ley habla de canal interno de información. Pero no hay una obligación legal como tal para llamarlo de una forma concreta. De hecho hay múltipes ejemplos de su denominación entre las empresas que ya lo están implementando: canal de denuncias, de comunicaciones, confidencial, canal abierto, canal interno de información, tal y como la ley lo denomina, etc.

El artículo 5.2h) establece:

h) Contar con una política o estrategia que enuncie los principios generales en materia de Sistemas interno de información y defensa del informante y que sea debidamente publicitada en el seno de la entidad u organismo.

Desde nuestra experiencia, la política debe ser el documento de la empresa en el que se establezca una declaración responsable de intenciones en cuanto al sistema interno de información, el uso del canal interno, las normas que van a imperar en él con respecto a la protección de los denunciantes, el responsable de su gestión, etc. La política, como otras políticas de la entidad, debe ser informada internamente, publicada y estar a disposición de todos sus destinatarios en todo momento.

Desde nuestro punto de vista, la reunión presencial puede ser otro medio de comunicación, pero no necesariamente se tiene que publicitar de una forma especial y de forma más visible que otras. Lo que sí es necesario, es incluirla como una opción disponible dentro del procedimiento interno de uso del canal que la empresa (recordemos que nuestra interpretación de la ley es que la conjunción “o” no hace obligatoria todas las formas de comunicación).

Dado que la Directiva Europea tiene carácter vinculante para todos los países de la Unión, y siempre que ese país haya ya legislado en este sentido, esa empresa tendrá que cumplir con sus propios requisitos legales. Si en ese país aún no se ha legislado, y el sistema interno de información de la entidad radicada en España se va a extender a todas las empresas del grupo, el sistema de la entidad en el otro estado de la UE al menos gozará de la protección de la Ley 2/23, si se cumple con el artículo 11 de la Ley.

Como tal esta garantía está solo prevista en la Ley 2/23 para el denunciante en el caso de que la comunicación se efectúe a través del canal de la Autoridad Independiente de Protección del Informante y para los canales públicos (artículos 13 y 21 de la Ley).

En cuanto a los canales privados, por analogía, y hasta que la autoridad de control pueda matizar el asunto, y también desde un punto de vista garantista, se opta por la recomendación de que, incluido en el procedimiento de la entidad, se pueda informar al comunicante de la finalización del expediente, y un resultado sucinto, que no comprometa la confidencialidad del expediente y salvo que dicha información pudiera comprometer la investigación o el procedimiento judicial.

En la línea de lo comentado en otros casos, el artículo 7.2 de la Ley utiliza la conjunción “o” para identificar la tipología de canales enunciado entre: correo postal o a través de cualquier medio electrónico habilitado al efecto, o verbalmente, por vía telefónica o a través de sistema de mensajería de voz. A solicitud del informante, también podrá presentarse mediante una reunión presencial dentro del plazo máximo de siete días.

Desde nuestro punto de vista estos medios son alternativos, y no obligatorios para la entidad. Si bien es cierto que podría no resultar descabellada la opción de que todos los medios son obligatorios si la lectura del artículo 7.2 se hace desde la visión de un denunciante.

Tendrá que ser la autoridad de control, cuando se cree, la que haga salir de dudas a todos los sujetos obligados.

No hay, en la totalidad del texto legal, una referencia expresa a la eliminación de metadatos propiamente dichos.

Lo que la ley indica es que ( Artículo 32. Tratamiento de datos personales en el Sistema interno de información.)

3. Los datos que sean objeto de tratamiento podrán conservarse en el sistema de informaciones únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados.

Si se acreditara que la información facilitada o parte de ella no es veraz, deberá procederse a su inmediata supresión desde el momento en que se tenga constancia de dicha circunstancia, salvo que dicha falta de veracidad pueda constituir un ilícito penal, en cuyo caso se guardará la información por el tiempo necesario durante el que se tramite el procedimiento judicial.

4. En todo caso, transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre.

En el entendido que los metadatos constituyen información sobre los datos (es decir, son datos que definen y describen otros datos), y  como consecuencia de que podrían constituir información sobre la denuncia, y en cumplimiento de las directrices de protección de datos en esta ley y en la propia Ley 3/2018 de Protección de Datos Personales y garantía de derechos digitales, nuestra interpretación a la pregunta es que se debe eliminar toda información que pueda afectar a esa denuncia, salvo que se mantenga anonimizada, incluidos los metadatos si con los mismos se consiguiera la obtención de información sobre la denuncia, sus características, sujetos vinculados, u otra información propia de la comunicación.

Alternativamente se podría trasladar la obligación al denunciante, de eliminar todos los metadatos de archivos que pudiera llegar a adjuntar, antes de hacerlo.

Sí, el responsable del sistema de interno de información y la entidad responsable del canal interno de información están legitimados para el tratamiento de los datos insertados en la denuncia, y la base jurídica será el cumplimiento de una obligación legal: la Ley 2/23.

La Agencia Española de Protección de Datos fue consultada en los trámites previos de la publicación del texto legislativo final y en su informe número 20/2022 ya indicó que “En este ámbito, adquieren especial relevancia las medidas de responsabilidad proactiva contenidas en el RGPD, y que deberán ser tenidas en cuenta en el diseño e implementación de los Sistemas de información, tanto internos como externos, incluido el análisis de riesgos el artículo 24, la necesidad de preservar la privacidad desde el diseño y por defecto del artículo 25, la realización de una Evaluación de impacto en la protección de datos del artículo 35 y las medidas de seguridad del artículo 32, todos ellos del RGPD.”

Tras el análisis de estas obligaciones, el informe concluye que “Por ello, con el fin de reforzar las garantías, debe incluirse, asimismo, la obligación de realizar una Evaluación de impacto, que el artículo 35 del RGPD prevé para los supuestos en los que “sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas”.

De manera, que, efectivamente, en la adecuación a la normativa de protección de datos del tratamiento de información referido a un canal de denuncias, los sujetos obligados tendrán que realizar la correspondiente EIPD.

A continuación, se indican algunas de las cautelas que se han de tomar antes este nuevo tratamiento:

1. Generar el nuevo registro de actividades del tratamiento en los casos legalmente requeridos por la normativa de protección de datos.
2. Informar a los usuarios del canal interno de comunicación conforme a lo establecido en el Reglamento General de Protección de Datos de la existencia de un tratamiento de datos, la finalidad, la legitimidad del tratamientos, los derechos de protección de datos, los plazos de conservación, entre otros.
3. Regular contractualmente la relación con los terceros externos intervinientes en el proceso, en calidad de encargados del tratamiento.
4. Nunca dar a conocer la identidad del denunciante al denunciado.
5. Los datos de quien formule la comunicación y de los empleados y terceros, deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.
6. Cuando la investigación finalice y no se hayan encontrado motivos fundados, como máximo en el plazo de 3 meses, se deberá de proceder a la cancelación de los datos, anonimizando los datos de denunciado y denunciante para poder conservarla, como prueba del buen funcionamiento del modelo implantado.
7. Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPD.
8. Solo en caso de iniciarse medidas contra el denunciado, se podrán conservar los datos por un tiempo superior y de acuerdo con el procedimiento sancionador iniciado.
9. Efectuar el correspondiente análisis de riesgos y evaluación de impacto de protección de datos, debido a la sensibilidad de los datos tratados, y conforme a lo establecido en el Reglamento General de Protección de Datos.
10. Dotar al nuevo tratamiento de todas las medidas de seguridad correspondientes conforme al análisis anterior.

A los efectos de esta ley se entienden comprendidos en el sector público:

1. La Administración General del Estado, las Administraciones de las comunidades autónomas y Ciudades con Estatuto de Autonomía y las Entidades que integran la Administración Local.
2. Los Organismos y Entidades públicas vinculadas o dependientes de alguna Administración pública, así como aquellas otras asociaciones y corporaciones en las que participen Administraciones y organismos públicos.
3. Las Autoridades Administrativas Independientes y las Entidades gestoras y Servicios comunes de la Seguridad Social.
4. Las Universidades públicas.
5. Las Corporaciones de Derecho público.
6. Las fundaciones del sector público.
7. Las sociedades mercantiles en cuyo capital social la participación, directa o indirecta, de entidades de las mencionadas en las letras a), b), c), d) y g) del presente apartado sea superior al 50 por 100, o en los casos en que, sin superar ese porcentaje, se encuentre respecto de las referidas entidades en el supuesto previsto en el artículo 5 del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.

También deberán dotarse de un sistema interno de información, en los mismos términos requeridos para las entidades del sector público enunciados en el apartado anterior, los órganos constitucionales los de relevancia constitucional e instituciones autonómicas análogas a los anteriores.

En el artículo 14 de la ley permite que se compartan medios en el sector público en lo que se refiere a los sistemas internos de información y los recursos destinados a las investigaciones y tramitaciones para municipios de menos de 10.000 habitantes. También para entidades del sector público vinculadas o dependientes de órganos de las administraciones territoriales que cuenten con menos de 50 trabajadores.