1700 - Disposiciones específicas a tener en cuenta para el tratamiento de datos personales en el sector público

Sistemas de información de denuncias internas

Según el apartado quinto del artículo 24 de la LOPDGDD, a los sistemas de denuncias internas que pudieran crearse en las AAPP, le son de aplicación los siguientes principios:

• Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable (los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información).
• El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. No obstante, será lícito su acceso por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan. Sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos.
• Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.
• Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.

En este sentido, la Agencia Española de Protección de Datos (AEPD) ha publicado un blog relacionado con la privacidad en sistemas de denuncia o whistleblowing, en el que se expone lo siguiente:

«Los sistemas de denuncia o "whistleblowing", en su término inglés, son un instrumento para poner de manifiesto la comisión de actos o conductas contrarios a la ley o al convenio colectivo dentro de las compañías o en la actuación de terceros que contraten con ellas. Estos sistemas suelen configurarse mediante la creación de buzones internos, generalmente online, a través de los cuales los trabajadores pueden comunicar este tipo de situaciones.

La normativa de protección de datos permite la puesta en marcha de estos sistemas siempre que se respeten una serie de principios básicos. La propia Agencia, dentro de los compromisos recogidos en su Marco de Actuación de Responsabilidad Social y lo dispuesto en su Código Ético, puso en marcha un canal de denuncia.

Si queremos poner en marcha un sistema de denuncias en nuestra empresa u organización deberemos prestar atención a los siguientes aspectos básicos relacionados con la privacidad:

Informar a los trabajadores

Es primordial que los trabajadores estén informados de la existencia del sistema de denuncias y del tratamiento de los datos que conlleva la formulación de una denuncia. Se puede comunicar directamente en el contrato de trabajo; individual o colectivamente al implementar o modificar el sistema, o mediante circulares informativas al personal y a sus representantes.

Respetar el principio de proporcionalidad y limitación de la finalidad

Las denuncias deberán hacer referencia únicamente a supuestos en que los hechos o actuaciones tengan una efectiva implicación en la relación entre la empresa y el denunciado y, del mismo modo, la información obtenida por esta vía no podrá usarse con una finalidad distinta a la prevista para la puesta en marcha del sistema.

Protección de los datos del denunciante

La ley permite los sistemas de denuncia anónima pero, en el caso de que esta no lo sea, la información del denunciante debe quedar a salvo y no facilitar su identificación al denunciado. Esto implica implementar medidas reforzadas de seguridad y confidencialidad de la información.

Limitación del acceso a la información

El acceso debe limitarse exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento o al encargado del tratamiento designado a tal efecto. Solo será lícito el acceso de otras personas o su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o la tramitación de los procedimientos judiciales que, en su caso, procedan.

Conservación y eliminación de los datos

Los datos deben conversarse solo el tiempo necesario para la investigación de los hechos, a no ser que de aquella se desprenda la adopción de determinadas medidas contra el denunciado, en cuyo supuesto sería posible conservar los datos por un plazo superior. En todo caso, los datos deben suprimirse transcurridos tres meses desde su introducción en el sistema de denuncias.

Derechos de protección de datos

Deberán garantizarse los derechos de acceso, rectificación, supresión y oposición del denunciado, sin que ello implique revelar la identidad del denunciante.  El denunciado debería poder conocer en el menor tiempo posible el hecho que se le imputa a fin de poder defender debidamente sus intereses, por lo que esta información debe facilitársele tras un tiempo prudencial en que se lleve a cabo la investigación preliminar de los hechos».

Fuente: web de la AEPD.

CUESTIÓN

¿Cuándo deberá procederse a la supresión de los datos introducidos en el sistema de denuncias?

Transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica.

Si bien, a las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPDGDD.

Por último, transcurrido el antedicho plazo, los datos podrán seguir siendo tratados, por el órgano al que corresponda, de acuerdo con el apartado segundo del artículo 25 de la LOPDGDD, la investigación de los hechos denunciados, no conservándose en el propio sistema de información de denuncias internas (artículo 24.4 de la LOPDGDD).

Tratamiento de datos en el ámbito de la función estadística pública

El tratamiento de datos personales efectuado por los organismos que tengan atribuidas las competencias relacionadas con el ejercicio de la función estadística pública se someterá a lo establecido en:

• Legislación específica.
• RGPD.
• LOPDGDD.

Asimismo, la comunicación de los datos a los órganos competentes en materia estadística solo se entenderá amparada en el artículo 6.1 e) del RGPD en los supuestos en que la estadística para la que se requiera la información venga exigida por una norma de derecho de la UE o se encuentre incluida en los instrumentos de programación estadística legalmente dispuestos.

A TENER EN CUENTA. De acuerdo con lo establecido en el apartado segundo del artículo 11 de la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública, serán de aportación estrictamente voluntaria y, en consecuencia, solo podrán recogerse previo consentimiento expreso de los afectados los datos referidos en los artículos 9 y 10 del RGPD (artículo 25.2 de la LOPDGDD).

CUESTIONES

1. ¿Podrán denegarse las solicitudes de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD realizadas por los afectados?

Sí, los organismos competentes para el ejercicio de la función estadística pública podrán denegar las solicitudes de ejercicio por los afectados de los derechos dispuestos en los artículos 15 a 22 del RGPD cuando los datos se encuentren amparados por las garantías del secreto estadístico establecidas en la legislación estatal o autonómica (artículo 25.3 de la LOPDGDD).

2. ¿Qué dispone el apartado segundo del artículo 11 de la LFEP?

El artículo de referencia establece que «en todo caso, serán de aportación estrictamente voluntaria y, en consecuencia, sólo podrán recogerse previo consentimiento expreso de los interesados los datos susceptibles de revelar el origen étnico, las opiniones políticas, las convicciones religiosas o ideológicas y, en general, cuantas circunstancias puedan afectar a la intimidad personal o familiar».

Tratamiento de datos con fines de archivo en interés público por parte de las AAPP

Será lícito el tratamiento por las AAPP de datos con fines de archivo en interés público, que se someterá a lo establecido en el RGPD y en la LOPDGDD con las especialidades que se derivan de lo establecido en la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español, en el Real Decreto 1708/2011, de 18 de noviembre, por el que se establece el Sistema Español de Archivos y se regula el Sistema de Archivos de la Administración General del Estado y de sus Organismos Públicos y su régimen de acceso, así como la legislación autonómica que resulte de aplicación (artículo 26 de la LOPDGDD).

A TENER EN CUENTA. El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al RGPD, para los derechos y las libertades de los interesados; las citadas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales. Dichas medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo (artículo 89.1 del RGPD).

Tratamiento de datos relativos a infracciones y sanciones administrativas

A los efectos del artículo 86 del RGPD, el tratamiento de datos relativos a infracciones y sanciones administrativas, incluido el mantenimiento de registros relacionados con las mismas, requerirá que:

• Los responsables de los referidos tratamientos sean los órganos competentes para la instrucción del procedimiento sancionador para:
  • La declaración de las infracciones.
  • La imposición de las sanciones.
• El tratamiento se limite a los datos estrictamente necesarios para la finalidad perseguida por aquel.

Ahora bien, cuando no se cumpla alguna de las anteriores condiciones, los tratamientos de datos referidos a infracciones y sanciones administrativas tendrán que contar con el consentimiento del interesado o estar autorizados por una norma con rango de ley, en la que se regularán, en su caso, garantías adicionales para los derechos y libertades de los afectados.

Por último, fuera de los casos determinados con anterioridad, los tratamientos de datos referidos a infracciones y sanciones administrativas solo serán posibles cuando sean realizados por abogados y procuradores y tengan como fin recoger la información facilitada por sus clientes para el ejercicio de sus funciones (artículo 27 de la LOPDGDD).

A TENER EN CUENTA. Los datos personales de documentos oficiales en posesión de alguna autoridad pública o u organismo público o una entidad privada para la realización de una misión en interés público podrán ser comunicados por dicha autoridad, organismo o entidad de acuerdo con el derecho de la Unión o de los EEMM que se le aplique a fin de conciliar el acceso del público a documentos oficiales con el derecho a la protección de los datos personales en virtud del RGPD (artículo 86 del RGPD).

Disposiciones específicas aplicables a los tratamientos de los registros de personal del sector público