El pasado mes de marzo el Consejo de Ministros de España aprobó el anteproyecto de ley que transpone la Directiva 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. (Directiva Whistleblowing)
La Directiva, y el anteproyecto, recogen la obligación principal de tener un sistema de información interno que permitan comunicar infracciones del derecho de la UE, infracciones penales o administrativas graves, así como infracciones en el ámbito del derecho laboral.
Además, como el nombre de la directiva lo establece, recoge las medidas que se deben adoptar para proteger al sujeto informante (Whistleblower).
Temas recogidos en el anteproyecto
Aún queda mucha agua por correr bajo el puente, pero mencionamos en este post los temas más destacados recogidos en el anteproyecto en materia de protección de datos.
1.-Designación de un Delegado de Protección de Datos: Las entidades obligadas a disponer de un sistema interno de comunicación (Entidades del sector público y personas físicas o jurídicas del sector privado con más de 50 trabajadores contratados, en términos generales), así como los terceros externos que en su caso lo gestionen, deberán nombrar un Delegado de Protección de Datos competente.
2.- Licitud del tratamiento: Cuando sea obligatorio disponer de un sistema interno de información, la base jurídica que legitime el tratamiento será la dispuesta en el artículo 6.1c) del RGPD (Obligación legal). Si no fuese obligatorio, el tratamiento se presumirá amparado en el artículo 6.1.e) del Reglamento (Interés público).
3.- Deber de información: Se debe cumplir con el deber de información a los interesados de acuerdo a lo establecido en el artículo 13 del RGPD. Además, se debe informar de forma expresa que la identidad del informante será en todo caso reservada, que no se comunicará a las personas a las que se refieren los hechos relatados ni a terceros.
4.- Acceso a los sistemas internos de información: El acceso a los sistemas internos de información quedará limitado exclusivamente al Responsable del sistema, al Responsable de RRHH, al Responsable de los servicios jurídicos, a los eventuales encargados de tratamiento y al Delegado de Protección de Datos.
5.- Plazo de conservación: Se deberá conservar los datos durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados. Transcurridos 3 meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo excepciones.
6.- Preservación de la identidad del informante: La identidad del informante solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de la investigación penal, disciplinaria o sancionadora.
Lo dicho, se trata de un anteproyecto de ley, aun queda camino por recorrer, pero nos da una primera pauta de las implicaciones en materia de protección de datos que presenta esta nueva normativa.