Uno de los aspectos más consultados por las organizaciones es cómo afectará a la protección de datos la implantación y desarrollo de la actividad de sus canales de comunicación. Con un claro ánimo de arrojar luz sobre este asunto, el nuevo Anteproyecto de ley de protección al informante dedica su título VI a la protección de datos personales en los canales de comunicación.
Siguiendo las directrices del Reglamento General de Protección de Datos y de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, el Anteproyecto establece una serie de consideraciones que las organizaciones tendrán que tomar en consideración al diseñar sus Sistemas de Gestión de Comunicaciones. En i2 Ethics hemos desgranado los distintos aspectos que habrá que tener en cuenta a partir de la aprobación del Anteproyecto:
Causa de legitimación
¿Qué son las causas de legitimación?
El RGPD, en su artículo 6 establece la obligación de que todo tratamiento de datos esté basado en una de las causas que se enumeran en el propio precepto. De este modo, cualquier tratamiento de datos personales que quede fuera de una de estas causas, será contrario a la normativa.
¿Cuáles son las causas de legitimación en los tratamientos de datos de los canales de comunicación?
Los tratamientos de datos personales llevados a cabo a partir de las comunicaciones amparadas por el Anteproyecto se podrán basar en las siguientes causas de legitimación:
- El cumplimiento de una obligación legal (art. 6.1 c) RGPD)
- Interés público (art. 6.1 e) RGPD)
La primera de estas causas, el cumplimiento de una obligación legal, aplica a aquellas organizaciones que tengan la obligación de implantar un canal de comunicaciones, y, por ende, cualquier dato personal tratado en el seno del mismo queda amparado por aquella, es decir, la empresa está obligada a investigar las comunicaciones que reciba y, para ello, precisará tratar los datos personales de informantes, testigos, personas a las que se refiera la comunicación, etc. Por otro lado, esta será también la causa de legitimación que amparará los tratamientos de datos realizados por la Autoridad Independiente de Protección al Informante.
La segunda aplica en aquellos casos en los que no sea obligatorio contar con un canal de comunicaciones y estas versen sobre hechos que afecten al interés público o, tal y como dispone la Directiva, a los intereses generales de la Unión Europea. Esta causa también se aplicará a las revelaciones públicas comprendidas en el texto legal.
¿Y qué causa legitima las comunicaciones que queden fuera del ámbito de aplicación del Anteproyecto?
En estos casos, resulta claro el interés de la organización en conocer e investigar aquellos incumplimientos que se estén produciendo en la misma, por lo que la causa que justifica el tratamiento de datos es el interés legítimo del responsable del tratamiento (art. 6.1 f) RGPD).
Información relativa a la protección de datos
Además de la información requerida por los arts. 13 y ss. del RGPD, el Anteproyecto dispone que deberá indicarse:
- Que su información será reservada y no se comunicará a ni a la persona a la que se refieran los hechos ni a terceros.
- La existencia de canales de comunicación externos, así como de instituciones en el seno de la Unión Europea que pueden recibir, en su caso, su comunicación.
Por otro lado, el Anteproyecto también establece la obligación de informar de la existencia de canales internos y externos de comunicación a todos sus trabajadores.
Derechos de protección de datos
Los interesados cuentan con los derechos que les reconocen los arts. 15 y ss. del RGPD en toda la extensión reconocida en el mismo.
Pero, ¿qué sucedería en el caso de que la persona mencionada en la comunicación ejerza su derecho de oposición al tratamiento? ¿puede esto frustrar la investigación del caso? El Anteproyecto atiende específicamente a este supuesto, estableciendo que en este caso se entenderá que existen motivos legítimos imperiosos para el tratamiento; como es lógico, en ningún caso podrá frustrar la investigación el hecho de que la persona investigada ejerza su derecho de oposición al tratamiento de datos.
¿Quién puede acceder a la información contenida en las comunicaciones?
Como es lógico, no todo el personal podrá acceder a la información contenida en las comunicaciones. En muchos casos, se va a tratar información muy sensible que no puede ser de público conocimiento, por lo tanto, únicamente deberán tener acceso a la misma:
- El responsable del canal y quienes lo gestionen directamente
- El responsable de Recursos Humanos, en el caso de ser necesario adoptar medidas disciplinarias contra algún trabajador.
- El responsable de los servicios jurídicos, si fuese necesario adoptar alguna medida legal.
- Los encargados del tratamiento, en su caso.
- El Delegado de Protección de datos
En cuanto a la comunicación de datos a terceras personas distintas de las anteriores, solo se permitirá cuando resulte necesario para la tramitación de los procedimientos sancionadores o penales que procedan. En estos casos, deberá comunicarse al informante de que su identidad va a ser revelada, salvo que con ello se ponga en peligro la investigación o proceso.
¿Durante cuánto tiempo se pueden conservar los datos personales?
Este es otro de los aspectos que más preguntas genera en torno a la gestión de los canales de comunicación.
En este sentido, el Anteproyecto de ley, establece un plazo máximo de 3 meses para decidir si proceder a tramitar la comunicación o archivarla. ¿Qué ocurre si se decide archivar la comunicación? En este caso, será necesario anonimizarla suprimiendo los datos personales de la misma.
Nada dice esta norma ni la Directiva, sobre durante cuánto tiempo se pueden conservar los datos personales durante la tramitación o concluida la misma. Como es lógico, la causa de legitimación que motiva el tratamiento de datos continúa vigente mientras se tramita la necesaria investigación del caso, por lo que los datos pueden conservarse durante la misma. ¿Y una vez concluida esa investigación? Será en este momento en el que, adoptadas las conclusiones y medidas oportunas, se deba, al menos, anonimizar las comunicaciones, siempre y cuando los hallazgos no puedan dar lugar a acciones judiciales o administrativas ulteriores, en cuyo caso, se podrán conservar por el tiempo que dichas acciones no prescriban; y aun así se deberán bloquear los datos personales (ocultarlos salvo que sea estrictamente necesario acceder a los mismos).
Delegados de protección de datos
Además de aquellos casos en los que el RGPD establece la obligación de nombrar delegados de protección de datos, el Anteproyecto va más allá y obliga a nombrar un delegado de protección de datos a todas las organizaciones que deban disponer de un sistema de comunicaciones, así como a aquellas dedicadas a gestionar dichos sistemas.
Si quieres implantar un canal de comunicaciones en tu organización, en i2 Ethics podemos ayudarte. Llevamos más de 10 años gestionando canales de comunicación online para empresas, escríbenos a [email protected]