¿Qué disposiciones especí...r público?
Ver Indice
»

Última revisión
08/10/2024

datos

1700 - ¿Qué disposiciones específicas son aplicables al tratamiento de datos personales en el sector público?

Tiempo de lectura: 10 min

Tiempo de lectura: 10 min

Relacionados:

Vademecum: Datos

Fecha última revisión: 08/10/2024

Resumen:

El tratamiento de datos personales en el sector público está regido por diferentes disposiciones reguladoras. Estas leyes establecen varios principios para los sistemas de denuncias internas, el tratamiento de datos en el ámbito de la función estadística pública, el tratamiento de datos con fines de archivo en interés público por parte de las AA. PP., el tratamiento de datos relativos a infracciones y sanciones administrativas y el tratamiento de los registros de personal.


Sistemas de información de denuncias internas

Según lo dispuesto en el art. 24 de la LOPDGDD serán lícitos los tratamientos de datos personales necesarios para garantizar la protección de aquellas personas que informen sobre infracciones normativas.

Estos tratamientos se regirán por lo dispuesto en:

  • El Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
  • En la propia LOPDGDD.
  • Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

A TENER EN CUENTA. El artículo 24 de la LOPDGDD ha sido modificado por la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, vigente desde el 13 de marzo de 2023.

De la regulación contenida en la Ley 2/2023, de 20 de febrero, podemos destacar que a los informantes y a quienes lleven a cabo alguna revelación pública, se les debe informar expresamente de que su identidad será reservada y no se comunicará a las personas a las que se refieren los hechos relatados ni a terceros. Por su parte el art. 33 de la citada ley regula lo relativo a la preservación de la identidad del informante y de las personas afectadas.

Solo tendrán acceso a los datos personales contenidos en el sistema interno de información (art. 32 de la Ley 2/2023, de 20 de febrero):

  • El responsable del sistema y quien lo gestione directamente.
  • El responsable de recursos humanos o el órgano competente debidamente designado, solo cuando pudiese proceder la adopción de medidas disciplinarias contra un trabajador. Cuando se trate de empleados públicos, el órgano competente para su tramitación.
  • Los encargados del tratamiento que se designen eventualmente.
  • El delegado de protección de datos.

Además, el apartado segundo del art. 32 de la Ley 2/2023, de 20 de febrero, añade que será lícito el tratamiento de datos por otras personas, o incluso su comunicación a terceros, cuando sea necesario para la adopción de medidas correctoras de la entidad o la tramitación de los procedimientos sancionadores o penales que procedan.

La Agencia Española de Protección de Datos (AEPD) ha publicado un blog relacionado con la privacidad en sistemas de denuncia o whistleblowing, en el que se expone lo siguiente:

«Los sistemas de denuncia o "whistleblowing", en su término inglés, son un instrumento para poner de manifiesto la comisión de actos o conductas contrarios a la ley o al convenio colectivo dentro de las compañías o en la actuación de terceros que contraten con ellas. Estos sistemas suelen configurarse mediante la creación de buzones internos, generalmente online, a través de los cuales los trabajadores pueden comunicar este tipo de situaciones.

La normativa de protección de datos permite la puesta en marcha de estos sistemas siempre que se respeten una serie de principios básicos. La propia Agencia, dentro de los compromisos recogidos en su Marco de Actuación de Responsabilidad Social y lo dispuesto en su Código Ético, puso en marcha un canal de denuncia.

Si queremos poner en marcha un sistema de denuncias en nuestra empresa u organización deberemos prestar atención a los siguientes aspectos básicos relacionados con la privacidad:

Informar a los trabajadores

Es primordial que los trabajadores estén informados de la existencia del sistema de denuncias y del tratamiento de los datos que conlleva la formulación de una denuncia. Se puede comunicar directamente en el contrato de trabajo; individual o colectivamente al implementar o modificar el sistema, o mediante circulares informativas al personal y a sus representantes.

Respetar el principio de proporcionalidad y limitación de la finalidad

Las denuncias deberán hacer referencia únicamente a supuestos en que los hechos o actuaciones tengan una efectiva implicación en la relación entre la empresa y el denunciado y, del mismo modo, la información obtenida por esta vía no podrá usarse con una finalidad distinta a la prevista para la puesta en marcha del sistema.

Protección de los datos del denunciante

La ley permite los sistemas de denuncia anónima pero, en el caso de que esta no lo sea, la información del denunciante debe quedar a salvo y no facilitar su identificación al denunciado. Esto implica implementar medidas reforzadas de seguridad y confidencialidad de la información.

Limitación del acceso a la información

El acceso debe limitarse exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento o al encargado del tratamiento designado a tal efecto. Solo será lícito el acceso de otras personas o su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o la tramitación de los procedimientos judiciales que, en su caso, procedan.

Conservación y eliminación de los datos

Los datos deben conversarse solo el tiempo necesario para la investigación de los hechos, a no ser que de aquella se desprenda la adopción de determinadas medidas contra el denunciado, en cuyo supuesto sería posible conservar los datos por un plazo superior. En todo caso, los datos deben suprimirse transcurridos tres meses desde su introducción en el sistema de denuncias.

Derechos de protección de datos

Deberán garantizarse los derechos de acceso, rectificación, supresión y oposición del denunciado, sin que ello implique revelar la identidad del denunciante.  El denunciado debería poder conocer en el menor tiempo posible el hecho que se le imputa a fin de poder defender debidamente sus intereses, por lo que esta información debe facilitársele tras un tiempo prudencial en que se lleve a cabo la investigación preliminar de los hechos».

Fuente: web de la AEPD.

CUESTIÓN

¿Cuándo deberá procederse a la supresión de los datos introducidos en el sistema de denuncias?

En virtud de lo dispuesto en el mentado art. 32 de la Ley 2/2023, de 20 de febrero, deben ser suprimidos los siguientes datos:

    • Los datos personales que no sean necesarios para el conocimiento e investigación de las acciones u omisiones.
    • Aquellos datos personales que se puedan haber comunicado y que se refieran a conducta no incluidas en el ámbito de aplicación de la Ley 2/2023, de 20 de febrero.
    • La información recibida que contenga datos personales de categoría especial.
    • La información no veraz, salvo aquellos casos en que la falta de veracidad pueda dar lugar a un ilícito penal, en cuyo caso se guardará la información el tiempo que sea necesario para tramitar el procedimiento judicial.
    • La información recibida una vez que hayan transcurridos 3 meses desde su recepción sin que se hubiesen iniciado actuaciones de investigación. En este caso podrá conservarse la información únicamente para evidenciar el funcionamiento del sistema.

Tratamiento de datos en el ámbito de la función estadística pública

El tratamiento de datos personales efectuado por los organismos que tengan atribuidas las competencias relacionadas con el ejercicio de la función estadística pública se someterá a lo establecido en:

  • La legislación específica.
  • El RGPD.
  • La LOPDGDD.

Asimismo, la comunicación de los datos a los órganos competentes en materia estadística solo se entenderá amparada en el artículo 6.1 e) del RGPD en los supuestos en que la estadística para la que se requiera la información venga exigida por una norma de derecho de la UE o se encuentre incluida en los instrumentos de programación estadística legalmente dispuestos.

A TENER EN CUENTA. De acuerdo con lo establecido en el apartado segundo del artículo 11 de la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública, serán de aportación estrictamente voluntaria y, en consecuencia, solo podrán recogerse previo consentimiento expreso de los afectados los datos referidos en los artículos 9 y 10 del RGPD (artículo 25.2 de la LOPDGDD).

CUESTIONES

1. ¿Podrán denegarse las solicitudes de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD realizadas por los afectados?

Sí, los organismos competentes para el ejercicio de la función estadística pública podrán denegar las solicitudes de ejercicio por los afectados de los derechos dispuestos en los artículos 15 a 22 del RGPD cuando los datos se encuentren amparados por las garantías del secreto estadístico establecidas en la legislación estatal o autonómica (artículo 25.3 de la LOPDGDD).

2. ¿Qué dispone el apartado segundo del artículo 11 de la LFEP?

El artículo de referencia establece en su apartado segundo que «en todo caso, serán de aportación estrictamente voluntaria y, en consecuencia, sólo podrán recogerse previo consentimiento expreso de los interesados los datos susceptibles de revelar el origen étnico, las opiniones políticas, las convicciones religiosas o ideológicas y, en general, cuantas circunstancias puedan afectar a la intimidad personal o familiar».

Tratamiento de datos con fines de archivo en interés público por parte de las AA. PP.

Será lícito el tratamiento por las AA. PP. de datos con fines de archivo en interés público, que se someterá a lo establecido en el RGPD y en la LOPDGDD con las especialidades que se derivan de lo establecido en la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español, en el Real Decreto 1708/2011, de 18 de noviembre, por el que se establece el Sistema Español de Archivos y se regula el Sistema de Archivos de la Administración General del Estado y de sus Organismos Públicos y su régimen de acceso, así como la legislación autonómica que resulte de aplicación (artículo 26 de la LOPDGDD).

A TENER EN CUENTA. El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al RGPD, para los derechos y las libertades de los interesados; las citadas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales. Dichas medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo (artículo 89.1 del RGPD).

Tratamiento de datos relativos a infracciones y sanciones administrativas

A los efectos del artículo 86 del RGPD, el tratamiento de datos relativos a infracciones y sanciones administrativas, incluido el mantenimiento de registros relacionados con las mismas, requerirá que:

  • Los responsables de los referidos tratamientos sean los órganos competentes para la instrucción del procedimiento sancionador para:
    • La declaración de las infracciones.
    • La imposición de las sanciones.
  • El tratamiento se limite a los datos estrictamente necesarios para la finalidad perseguida por aquel.

Ahora bien, cuando no se cumpla alguna de las anteriores condiciones, los tratamientos de datos referidos a infracciones y sanciones administrativas tendrán que contar con el consentimiento del interesado o estar autorizados por una norma con rango de ley, en la que se regularán, en su caso, garantías adicionales para los derechos y libertades de los afectados.

Por último, fuera de los casos determinados con anterioridad, los tratamientos de datos referidos a infracciones y sanciones administrativas solo serán posibles cuando sean realizados por abogados y procuradores y tengan como fin recoger la información facilitada por sus clientes para el ejercicio de sus funciones (artículo 27 de la LOPDGDD).

A TENER EN CUENTA. Los datos personales de documentos oficiales en posesión de alguna autoridad pública o u organismo público o una entidad privada para la realización de una misión en interés público podrán ser comunicados por dicha autoridad, organismo o entidad de acuerdo con el derecho de la Unión o de los EE. MM. que se le aplique a fin de conciliar el acceso del público a documentos oficiales con el derecho a la protección de los datos personales en virtud del RGPD (artículo 86 del RGPD).

Disposiciones específicas aplicables a los tratamientos de los registros de personal del sector público

Los tratamientos de los registros de personal del sector público se estimarán efectuados en el ejercicio de poderes públicos conferidos a sus responsables, de conformidad con lo establecido en la letra e) del apartado primero del artículo 6 del RGPD.

Los referidos registros podrán tratar datos personales relativos a infracciones y condenas penales e infracciones y sanciones administrativas, si bien deberán limitarse a los datos estrictamente necesarios para el cumplimiento de sus fines.

A TENER EN CUENTA. En virtud de lo establecido en el apartado segundo del artículo 18 del RGPD, y por considerarlo una razón de interés público importante, los datos cuyo tratamiento se haya limitado en virtud del apartado primero del artículo 18 del referido reglamento, podrán ser objeto de tratamiento cuando sea necesario para el desarrollo de los procedimientos de personal (D.A. 12.ª.3 de la LOPDGDD).