Última revisión
datos
1700 - ¿Qué disposiciones específicas son aplicables al tratamiento de datos personales en el sector público?
Relacionados:
Vademecum: Datos
Fecha última revisión: 08/10/2024
Resumen:
El tratamiento de datos personales en el sector público está regido por diferentes disposiciones reguladoras. Estas leyes establecen varios principios para los sistemas de denuncias internas, el tratamiento de datos en el ámbito de la función estadística pública, el tratamiento de datos con fines de archivo en interés público por parte de las AA. PP., el tratamiento de datos relativos a infracciones y sanciones administrativas y el tratamiento de los registros de personal.
Sistemas de información de denuncias internas
Según lo dispuesto en el art. 24 de la LOPDGDD serán lícitos los tratamientos de datos personales necesarios para garantizar la protección de aquellas personas que informen sobre infracciones normativas.
Estos tratamientos se regirán por lo dispuesto en:
- El Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
- En la propia
LOPDGDD . Ley 2/2023, de 20 de febrero , reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
A TENER EN CUENTA. El artículo 24 de la LOPDGDD ha sido modificado por la
Ley 2/2023, de 20 de febrero , reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, vigente desde el 13 de marzo de 2023.
De la regulación contenida en la
Solo tendrán acceso a los datos personales contenidos en el sistema interno de información (art. 32 de la
- El responsable del sistema y quien lo gestione directamente.
- El responsable de recursos humanos o el órgano competente debidamente designado, solo cuando pudiese proceder la adopción de medidas disciplinarias contra un trabajador. Cuando se trate de empleados públicos, el órgano competente para su tramitación.
- Los encargados del tratamiento que se designen eventualmente.
- El delegado de protección de datos.
Además, el apartado segundo del art. 32 de la
La Agencia Española de Protección de Datos (AEPD) ha publicado un blog relacionado con la privacidad en sistemas de denuncia o whistleblowing, en el que se expone lo siguiente:
«Los sistemas de denuncia o "whistleblowing", en su término inglés, son un instrumento para poner de manifiesto la comisión de actos o conductas contrarios a la ley o al convenio colectivo dentro de las compañías o en la actuación de terceros que contraten con ellas. Estos sistemas suelen configurarse mediante la creación de buzones internos, generalmente online, a través de los cuales los trabajadores pueden comunicar este tipo de situaciones.
La normativa de protección de datos permite la puesta en marcha de estos sistemas siempre que se respeten una serie de principios básicos. La propia Agencia, dentro de los compromisos recogidos en su Marco de Actuación de Responsabilidad Social y lo dispuesto en su Código Ético, puso en marcha un canal de denuncia.
Si queremos poner en marcha un sistema de denuncias en nuestra empresa u organización deberemos prestar atención a los siguientes aspectos básicos relacionados con la privacidad:
Informar a los trabajadores
Es primordial que los trabajadores estén informados de la existencia del sistema de denuncias y del tratamiento de los datos que conlleva la formulación de una denuncia. Se puede comunicar directamente en el contrato de trabajo; individual o colectivamente al implementar o modificar el sistema, o mediante circulares informativas al personal y a sus representantes.
Respetar el principio de proporcionalidad y limitación de la finalidad
Las denuncias deberán hacer referencia únicamente a supuestos en que los hechos o actuaciones tengan una efectiva implicación en la relación entre la empresa y el denunciado y, del mismo modo, la información obtenida por esta vía no podrá usarse con una finalidad distinta a la prevista para la puesta en marcha del sistema.
Protección de los datos del denunciante
La ley permite los sistemas de denuncia anónima pero, en el caso de que esta no lo sea, la información del denunciante debe quedar a salvo y no facilitar su identificación al denunciado. Esto implica implementar medidas reforzadas de seguridad y confidencialidad de la información.
Limitación del acceso a la información
El acceso debe limitarse exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento o al encargado del tratamiento designado a tal efecto. Solo será lícito el acceso de otras personas o su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o la tramitación de los procedimientos judiciales que, en su caso, procedan.
Conservación y eliminación de los datos
Los datos deben conversarse solo el tiempo necesario para la investigación de los hechos, a no ser que de aquella se desprenda la adopción de determinadas medidas contra el denunciado, en cuyo supuesto sería posible conservar los datos por un plazo superior. En todo caso, los datos deben suprimirse transcurridos tres meses desde su introducción en el sistema de denuncias.
Derechos de protección de datos
Deberán garantizarse los derechos de acceso, rectificación, supresión y oposición del denunciado, sin que ello implique revelar la identidad del denunciante. El denunciado debería poder conocer en el menor tiempo posible el hecho que se le imputa a fin de poder defender debidamente sus intereses, por lo que esta información debe facilitársele tras un tiempo prudencial en que se lleve a cabo la investigación preliminar de los hechos».
Fuente: web de la AEPD.
CUESTIÓN
¿Cuándo deberá procederse a la supresión de los datos introducidos en el sistema de denuncias?
En virtud de lo dispuesto en el mentado art. 32 de la
- Los datos personales que no sean necesarios para el conocimiento e investigación de las acciones u omisiones.
- Aquellos datos personales que se puedan haber comunicado y que se refieran a conducta no incluidas en el ámbito de aplicación de la
Ley 2/2023, de 20 de febrero . - La información recibida que contenga datos personales de categoría especial.
- La información no veraz, salvo aquellos casos en que la falta de veracidad pueda dar lugar a un ilícito penal, en cuyo caso se guardará la información el tiempo que sea necesario para tramitar el procedimiento judicial.
- La información recibida una vez que hayan transcurridos 3 meses desde su recepción sin que se hubiesen iniciado actuaciones de investigación. En este caso podrá conservarse la información únicamente para evidenciar el funcionamiento del sistema.
Tratamiento de datos en el ámbito de la función estadística pública
El tratamiento de datos personales efectuado por los organismos que tengan atribuidas las competencias relacionadas con el ejercicio de la función estadística pública se someterá a lo establecido en:
- La legislación específica.
- El
RGPD . - La
LOPDGDD .
Asimismo, la comunicación de los datos a los órganos competentes en materia estadística solo se entenderá amparada en el artículo 6.1 e) del
A TENER EN CUENTA. De acuerdo con lo establecido en el apartado segundo del artículo 11 de la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública, serán de aportación estrictamente voluntaria y, en consecuencia, solo podrán recogerse previo consentimiento expreso de los afectados los datos referidos en los artículos 9 y 10 del
CUESTIONES
1. ¿Podrán denegarse las solicitudes de ejercicio de los derechos establecidos en los artículos 15 a 22 del
Sí, los organismos competentes para el ejercicio de la función estadística pública podrán denegar las solicitudes de ejercicio por los afectados de los derechos dispuestos en los artículos 15 a 22 del
2. ¿Qué dispone el apartado segundo del artículo 11 de la LFEP?
El artículo de referencia establece en su apartado segundo que «en todo caso, serán de aportación estrictamente voluntaria y, en consecuencia, sólo podrán recogerse previo consentimiento expreso de los interesados los datos susceptibles de revelar el origen étnico, las opiniones políticas, las convicciones religiosas o ideológicas y, en general, cuantas circunstancias puedan afectar a la intimidad personal o familiar».
Tratamiento de datos con fines de archivo en interés público por parte de las AA. PP.
Será lícito el tratamiento por las AA. PP. de datos con fines de archivo en interés público, que se someterá a lo establecido en el
A TENER EN CUENTA. El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al
Tratamiento de datos relativos a infracciones y sanciones administrativas
A los efectos del artículo 86 del
- Los responsables de los referidos tratamientos sean los órganos competentes para la instrucción del procedimiento sancionador para:
- La declaración de las infracciones.
- La imposición de las sanciones.
- El tratamiento se limite a los datos estrictamente necesarios para la finalidad perseguida por aquel.
Ahora bien, cuando no se cumpla alguna de las anteriores condiciones, los tratamientos de datos referidos a infracciones y sanciones administrativas tendrán que contar con el consentimiento del interesado o estar autorizados por una norma con rango de ley, en la que se regularán, en su caso, garantías adicionales para los derechos y libertades de los afectados.
Por último, fuera de los casos determinados con anterioridad, los tratamientos de datos referidos a infracciones y sanciones administrativas solo serán posibles cuando sean realizados por abogados y procuradores y tengan como fin recoger la información facilitada por sus clientes para el ejercicio de sus funciones (artículo 27 de la LOPDGDD).
A TENER EN CUENTA. Los datos personales de documentos oficiales en posesión de alguna autoridad pública o u organismo público o una entidad privada para la realización de una misión en interés público podrán ser comunicados por dicha autoridad, organismo o entidad de acuerdo con el derecho de la Unión o de los EE. MM. que se le aplique a fin de conciliar el acceso del público a documentos oficiales con el derecho a la protección de los datos personales en virtud del
Disposiciones específicas aplicables a los tratamientos de los registros de personal del sector público
Los tratamientos de los registros de personal del sector público se estimarán efectuados en el ejercicio de poderes públicos conferidos a sus responsables, de conformidad con lo establecido en la letra e) del apartado primero del artículo 6 del
Los referidos registros podrán tratar datos personales relativos a infracciones y condenas penales e infracciones y sanciones administrativas, si bien deberán limitarse a los datos estrictamente necesarios para el cumplimiento de sus fines.
A TENER EN CUENTA. En virtud de lo establecido en el apartado segundo del artículo 18 del