El DPO en la ley de informantes
Tras la publicación en el Boletín Oficial del Estado de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, ha suscitado interés la postura que debe adoptar el Delegado de Protección de Datos (DPD/DPO, Data Protection Officer) respecto a la normativa que establece la obligatoriedad de disponer de un canal de denuncias.
Con anterioridad a la publicación de la citada Ley, ya era conocido el estrecho vínculo entre la normativa de protección de datos y los sistemas de información de denuncias internas, pues resulta indispensable garantizar la privacidad de los denunciantes y, para ello, se deben cumplir los requisitos establecidos por el artículo 24 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). No era de esperar que surgieran preguntas relacionadas con una de las figuras más relevantes en el ámbito de la privacidad: ¿qué papel desempeña el DPO en los Sistemas internos de información? ¿Qué grado de acceso a las denuncias se debe proporcionar al DPO en aras de facilitar el ejercicio de sus funciones de asesoramiento y supervisión?
Con el objeto de orientar sobre las anteriores cuestiones, es importante acudir a la citada Ley de informantes que, en su Preámbulo, establece la exigencia de nombrar un DPO a “[…] las entidades obligadas a disponer de un Sistema interno de información, los terceros externos que en su caso lo gestionen y la Autoridad Independiente de Protección de Datos, A.A.I. así como las que en su caso se constituyan […]”
Sin embargo, parece incongruente que en el artículo 34 de la Ley se limite la obligación de nombrar DPO exclusivamente a las autoridades mencionadas en el apartado anterior que, conforme a lo dispuesto en el 37.1.a) del Reglamento General de Protección de Datos (RGPD), así lo requieran. Con la redacción del artículo 34, parece que descarta la exigencia de nombramiento a las entidades obligadas a disponer de un Sistema interno de información y a los terceros externos que lo gestionen “per se” excepto los supuestos de exigencia del DPD mencionados en el citado artículo 37.1.a) del RGPD. La incoherencia en la redacción parece deberse a un error material producido por las diversas modificaciones durante la tramitación en las Cortes…
Por último, en lo referente a la limitación de acceso, en su artículo 32 se incluye al DPO entre los roles a los que se permite el acceso a los datos personales contenidos en el Sistema interno de información, siempre dentro del ámbito de sus competencias y funciones.
En conclusión, si bien el Preámbulo tiene meramente funciones expositivas y carece de valor normativo, es altamente recomendable designar la figura del DPO para la implantación y mantenimiento del sistema interno de información. Adicionalmente, exigir esta figura en los proveedores encargados de gestionar el Sistema interno de información, resalta la responsabilidad proactiva de las entidades y el cumplimiento del deber de elección diligente de los encargados del tratamiento.
Por todo lo anteriormente expuesto, la privacidad y protección de datos personales son los cimientos fundamentales en los que debemos asentar nuestro sistema interno de información y canal de denuncias, especialmente teniendo en cuenta que la principal misión de la Ley 2/2023 se basa en fomentar la participación de los ciudadanos en la comunicación de infracciones y conductas delictivas. La protección de la privacidad debe funcionar como una garantía esencial para los informantes.
Laura Vico Gabarda Senior Legal Advisor en Privacidad, Marcos Normativos TI y Compliance en Govertis part of Telefónica Tech
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
