La semana pasada ya hablamos sobre la reciente Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Hoy, nos centraremos en los tratamientos de datos personales que deriven de la aplicación de esta ley y del Sistema de Información Interno, SII, los cuales se regirán por lo dispuesto en la normativa en protección de datos, RGPD y LOPDGDD, debiendo los Delegados/as de Protección de Datos, DPD, de los responsables, supervisar el tratamiento de datos del referido sistema. Cuando una persona denunciante, bien de forma anónima o confidencial en todo caso, comunica una serie de hechos, en el relato de los mismos se pueden comunicar datos de terceros o directamente de las presuntas personas infractoras, así como, durante la instrucción e investigación que se lleve a cabo, se tratarán datos de las personas involucradas.
En ningún caso serán objeto de tratamiento los datos personales que no sean necesarios para el conocimiento e investigación de los hechos denunciados.
La legitimación del tratamiento de los mismos, vendrá amparada por el cumplimiento de una obligación legal, artículo 6.1.c) RGPD y, para el caso de Administraciones Públicas, también en virtud de interés público o ejercicio de poderes públicos, recogido en el artículo 6.1.e) RGPD.
Recordando que, la finalidad de la ley es evitar represalias contra la persona denunciante, por este motivo, el artículo 31 de la misma, recoge que, la identidad de la persona denunciante en ningún caso será comunicada ni accesible a la persona o personas afectadas o las que se refieran los hechos denunciados.
Los datos personales contenidos en el Sistema interno de información quedará limitado, únicamente pudiendo acceder a los mismos a) Responsable del Sistema y a quien lo gestione directamente, b) El responsable de recursos humanos, c) El responsable de los servicios jurídicos, d) Los encargados del tratamiento que eventualmente se designen. e) El delegado de protección de datos.
Si la información recibida contuviera datos personales incluidos dentro de las categorías especiales de datos, se procederá a su inmediata supresión...
La identidad del informante solo podrá́ ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora, que se derive de la previa investigación a raíz de su denuncia.
En ningún caso serán objeto de tratamiento los datos personales que no sean necesarios para el conocimiento e investigación de los hechos denunciados. Debiendo suprimirse todos aquellos datos personales que se puedan haber comunicado y que se refieran a conductas que no estén incluidas en el ámbito de aplicación de la ley.
Si la información recibida contuviera datos personales incluidos dentro de las categorías especiales de datos, se procederá a su inmediata supresión, sin que se proceda al registro y tratamiento de los mismos.
Los datos que sean objeto de tratamiento podrán conservarse en el sistema de informaciones únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados.
...la identidad de la persona denunciante en ningún caso será comunicada ni accesible a la persona o personas afectadas o las que se refieran los hechos denunciados.
Si se acreditara que la información facilitada o parte de ella no es veraz, deberá procederse a su inmediata supresión desde el momento en que se tenga constancia de dicha circunstancia, salvo que dicha falta de veracidad pueda constituir un ilícito penal, en cuyo caso se guardará la información por el tiempo necesario durante el que se tramite el procedimiento judicial.
En todo caso, transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPDGDD.
