EL RESPONSABLE DEL TRATAMIENTO DEL CANAL DE DENUNCIAS

15 junio, 2023 por Govertis Blog, Noticias 0 comentarios

EL RESPONSABLE DEL TRATAMIENTO DEL CANAL DE DENUNCIAS

El artículo 5.1 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante, Ley 2/2023) establece en su artículo 5.1 que “ El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el responsable de la implantación del Sistema interno de información, previa consulta con la representación legal de las personas trabajadoras, y tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales.”

Desde Govertis, a part of Telefónica Tech, la interpretación literal de la norma nos suscitaba serias dudas, la cuales ocasionaban una gran inseguridad jurídica a los efectos de asesorar a nuestros clientes. Es por esto que, planteamos consulta a la autoridad de control, puesto que, entendíamos que la condición de responsable de tratamiento debería atribuirse a la persona jurídica, ya que el órgano de gobierno de siempre actuará por cuenta de ésta, como señala el Comité Europeo de Protección de Datos, y no como un responsable de tratamiento autónomo y diferente de la entidad para la cual toma las decisiones.

Hoy hemos conocido el Informe N/REF: 0054/2023 en el que se confirma la no realización de una interpretación literal de la citada disposición. La AEPD afirma, tajantemente, que:

“la correcta interpretación del artículo 5 de la Ley 2/2023, de 20 de febrero, desde la perspectiva de la protección de datos personales, requiere identificar como responsable del tratamiento a la entidad u organismo obligado por la ley a disponer de un Sistema interno de información, sin perjuicio de que las decisiones necesarias para su correcta implantación deban adoptarse por el correspondiente órgano de administración u órgano de gobierno”.

De este modo, la AEPD reconoce que, la literalidad del artículo 5 tiene su origen en el Informe Jurídico 20/2022, emitido por esta misma agencia, en el que informaba, de manera preceptiva, acerca del Anteproyecto de Ley, pero aclara que “con dichas observaciones, se trataba de clarificar la distintas posición jurídica que podrían ostentar, desde la perspectiva de la normativa sobre protección de datos personales, los diferentes sujetos que podían intervenir en dichos tratamientos” y concluye que “Por consiguiente, partiendo de dichos criterios, y teniendo en cuenta que el artículo 5 resulta de aplicación tanto al sector público como al sector privado, la finalidad perseguida con nuestro Informe 20/2022 era contribuir a la correcta identificación de los responsables del tratamiento y de los posibles encargados, pero sin que fuera la intención de atribuir al Consejo de Administración de una sociedad mercantil una responsabilidad respecto del tratamiento de los datos personales en el Sistema interno de información diferenciada respecto de la que corresponde a la propia sociedad con relación a los restantes tratamientos de datos personales conforme al artículo 4.7. del RGPD, ni alterar el régimen de responsabilidad previsto en la normativa sobre protección de datos personales para adecuarlo al régimen de responsabilidad solidaria de los administradores recogido en el artículo 236 del Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital”.

En el sector público, afirma la AEPD que “la condición de responsable del tratamiento corresponderá a la entidad u organismo obligado por la ley y no a su órgano de gobierno, sin perjuicio de que en este ámbito sea una práctica frecuente en la elaboración de los registros de las actividades de tratamiento, la de identificar como responsable del tratamiento al órgano superior o directivo que ostenta las correspondientes competencias, contribuyendo, de este modo, a facilitar la identificación del órgano administrativo que adopta las correspondientes decisiones sobre el tratamiento de los datos personales y el ejercicio de los derechos de los afectados, práctica admitida y seguida por esta Agencia, pero sin que excluya la condición de responsable del tratamiento de la entidad u organismo correspondiente”.

Así, la AEPD concluye que:

“Por todo ello, la correcta interpretación del artículo 5 de la Ley 2/2023, de 20 de febrero, desde la perspectiva de la protección de datos personales, requiere identificar como responsable del tratamiento a la entidad u organismo obligado por la ley a disponer de un Sistema interno de información, sin perjuicio de que las decisiones necesarias para su correcta implantación deban adoptarse por el correspondiente órgano de administración u órgano de gobierno”.

Con esto, desde Govertis, a part of Telefónica Tech, estamos satisfechos de que nuestra línea interpretativa haya sido ratificada con este último informe de nuestra autoridad de control, aportando la necesaria seguridad jurídica para todos los sujetos obligados y los operadores jurídicos.

 

Centro de Excelencia en Compliance de Govertis – Telefonica Tech

Centro de Excelencia en Privacidad  de Govertis – Telefonica Tech

 

 

Artículos Relacionados

por Govertis5 septiembre, 20150 comentarios

Bienvenido al blog experto en Gobierno TI, Seguridad, Riesgo y Cumplimiento Normativo

por Govertis4 enero, 20160 comentarios

Aspectos TIC en la reforma de la LECRIM (Parte I)

por Govertis27 enero, 20163 comentarios

LA PROTECCIÓN DE DATOS: 15 AÑOS ANTES Y 15 DESPUÉS…

Escribe un Comentario!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

5 AÑOS DE RGPD: AVANCES Y RETOSEntrada anterior:
HOJA DE RUTA PARA UTILIZAR CHAT GPTSiguiente entrada