Protección de datos personales

Los datos personales facilitados con ocasión de la Comunicación y obtenidos a resultas de la investigación interna correspondiente (los “Datos Personales”) serán tratados por el personal designado a tal efecto dentro del CLIENTE y únicamente para la investigación de los hechos Comunicados, siendo la base que legitima este tratamiento de Datos Personales el cumplimiento de los artículos 10 y 13 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. 

Como consecuencia del procedimiento de investigación interna, es posible que en determinadas circunstancias y tal como se ha explicado más arriba sea necesario externalizar las labores de investigación, pudiendo por tanto existir un acceso a Datos Personales por parte de un tercero en calidad de encargado del tratamiento. El CLIENTE garantiza en todo momento que la elección de estos terceros se hace con las máximas garantías en materia de protección de datos y que se suscribe el correspondiente acuerdo de encargo de tratamiento de conformidad con el artículo 28 del RGPD.

El tratamiento de los datos a través de este canal de denuncias debe articularse de conformidad no sólo con la Ley vigente en la materia, sino también de conformidad con los establecido en la normativa de protección de datos, Reglamento (UE) 2016/679, de 27 de abril de 2016 (RGPD), y Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD). Por ello es indispensable que se tengan en cuenta las siguientes recomendaciones, tal y como nos recuerda la Agencia Española de Protección de Datos (en adelante AEPD):

1. Informar a los trabajadores

Es primordial que los trabajadores estén informados de la existencia del sistema de denuncias y del tratamiento de los datos que conlleva la formulación de una denuncia. Se puede comunicar directamente en el contrato de trabajo; individual o colectivamente al implementar o modificar el sistema, o mediante circulares informativas al personal y a sus representantes.

2. Respetar el principio de proporcionalidad y limitación de la finalidad

Las denuncias deberán hacer referencia únicamente a supuestos en que los hechos o actuaciones tengan una efectiva implicación en la relación entre la empresa y el denunciado y, del mismo modo, la información obtenida por esta vía no podrá usarse con una finalidad distinta a la prevista para la puesta en marcha del sistema.

3. Protección de los datos del denunciante

La ley permite los sistemas de denuncia anónima pero, en el caso de que esta no lo sea, la información del denunciante debe quedar a salvo y no facilitar su identificación al denunciado. Esto implica implementar medidas reforzadas de seguridad y confidencialidad de la información.

Por ello, la recepción de la denuncia, será a cargo de un Delegado de Protección de datos certificado.

4. Limitación del acceso a la información

El acceso debe limitarse exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento o al encargado del tratamiento designado a tal efecto. Solo será lícito el acceso de otras personas o su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o la tramitación de los procedimientos judiciales que, en su caso, procedan.

5. Conservación y eliminación de los datos

Los datos personales relativos a la Información y a las investigaciones internas se conservarán solo durante el período de tiempo necesario y proporcionado a efectos de cumplir la normativa aplicable, así: 1) los datos que sean objeto de tratamiento podrán conservarse en el Sistema de Información Interno del CLIENTE únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados; si se acreditara que la Información o parte de ella no es veraz, deberá procederse a su inmediata supresión desde el momento en que se tenga constancia de dicha circunstancia, salvo que dicha falta de veracidad pueda constituir un ilícito penal, en cuyo caso se guardará la Información debidamente bloqueada por el tiempo necesario durante el que se tramite el procedimiento judicial; 2) transcurridos tres meses desde la recepción de la Comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo; y 3) en ningún caso podrán conservarse los datos por un período superior a diez años. 

6. Derechos de protección de datos

Deberán garantizarse los derechos de acceso, rectificación, supresión y oposición del denunciado, sin que ello implique revelar la identidad del denunciante.  El denunciado debería poder conocer en el menor tiempo posible el hecho que se le imputa a fin de poder defender debidamente sus intereses, por lo que esta información debe facilitársele tras un tiempo prudencial en que se lleve a cabo la investigación preliminar de los hechos.

7. Alta del tratamiento

Será obligatorio que, por parte del DPO de la empresa, o por el responsable de protección de datos, se gestione el alta del correspondiente tratamiento, en el Registro de actividades de tratamiento (RAT). En caso de que el cliente tenga contrato el servicio con el proveedor del canal de denuncias, este trámite está incluido en el servicio.

8. Deber de información 

Así mismo será indispensable que se cumpla con el deber de información, por tanto, en el momento de obtener los datos, se debe de facilitar los siguientes textos legales:

En el Anexo II  del Reglamento figura el texto para incluir en la política de privacidad de la página web: Información del tratamiento de datos personales relativa al sistema de denuncias internas para la adecuada gestión del canal ético, con el fin de tramitar las correspondientes irregularidades notificadas a través de este y decidir sobre la procedencia de iniciar una investigación, al objeto de detectar posibles delitos y prevenir la imposición de cualquier tipo de responsabilidad, así como para evitar cualquier tipo de conducta contraria a la normativa interna o externa de la entidad.

Medidas de seguridad

A continuación, se exponen las medidas técnicas mínimas para garantizar la salvaguarda de los datos personales: 

  • ACTUALIZACIÓN DE ORDENADORES Y DISPOSITIVOS: Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible.  
  • MALWARE: En los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales se dispondrá de un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales. El sistema de antivirus deberá ser actualizado de forma periódica.
  • CORTAFUEGOS O FIREWALL: Para evitar accesos remotos indebidos a los datos personales se velará para garantizar la existencia de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales.
  • CIFRADO DE DATOS: Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información. Recordamos como cifrar un documento como Anexo III. 
  • COPIA DE SEGURIDAD: Periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en lugar seguro, distinto de aquél en que esté ubicado el ordenador con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.